Bitrefillin hakkerointi yhdistetty Lazarukseen: mitä se paljastaa kryptoriskeistä

Kryptovaluuttamaksuja ja lahjakortteja välittävä alusta Bitrefill on palauttanut toimintansa sen jälkeen, kun 1. maaliskuuta 2026 tapahtunut kyberhyökkäys paljasti osia sen infrastruktuurista ja kryptolompakoista.

Yhtiö on sisäisen tutkinnan jälkeen liittänyt tietomurron Pohjois-Koreaan kytkeytyvään Lazarus-ryhmään.

Hyökkääjät saivat käyttöön tuotantoavaimet, tyhjensivät varoja hot-lompakoista ja pääsivät käsiksi rajattuun määrään asiakastilaustietoja.

Bitrefill kertoi korvaavansa kaikki tappiot käyttöpääomalla.

Vaikka palvelut ovat palautuneet normaaliksi, tapaus korostaa kryptopalveluihin kohdistuvia riskejä ja valtionkytkösten hakkeriryhmien kehittynyttä osaamista.

Miten murtuma alkoi

Hyökkäys lähti liikkeelle kaapatusta työntekijän läppäristä, joka paljasti vanhat tunnistetiedot.

Tämän seurauksena hyökkääjät pystyivät liikkumaan Bitrefillin järjestelmissä ja saivat pääsyn infrastruktuuriin, mukaan lukien tietokannat ja kryptolompakot.

Tietomurtu havaittiin, kun yhtiö havaitsi toimittajien ostokäyttäytymisessä poikkeavuuksia.

Hyökkääjät hyödyntivät lahjakorttivarastoa samalla kun he siirsivät varoja hot-lompakoista ulos.

Bitrefill reagoi ottamalla järjestelmät pois verkosta tapahtuman pitämiseksi kurissa.

Yhtiö vahvisti myöhemmin, että hyökkääjät käyttivät haittaohjelmia, on-chain-seurantaa sekä uudelleenkäytettyjä IP- ja sähköpostikuvioita.

Nämä menetelmät vastasivat Lazarus-ryhmän (tunnetaan myös nimellä Bluenoroff) käyttämiä taktiikoita.

Yhteyksiä aiempiin kryptohyökkäyksiin

Lazarus-ryhmää on yhdistetty useisiin rikkomuksiin kryptovaluuttasektorilla.

Aiemmat tapaukset ovat kohdistuneet alustoihin kuten Ronin Network, Harmonyn Horizon Bridge, WazirX ja Atomic Wallet.

Bitrefill kertoi, että tässä hyökkäyksessä käytetyt tekniikat muistuttivat aikaisempia tapauksia.

Niihin kuului pääsy vuotaneiden tunnistetietojen kautta, hot-lompakoiden kohdentaminen ja varojen siirtäminen lohkoketjuverkkojen läpi.

Yhtiö jakoi yksityiskohtaisen kuvauksen tapahtumasta X:ssä, jossa se avasi, miten hyökkääjät yhdistivät kybertunkeutumismenetelmiä ja lohkoketjuun perustuvia varojen liikkeitä.

Asiakastietojen paljastuminen

Tietomurtu koski noin 18 500 ostotietuetta.

Nämä tiedot sisälsivät sähköpostiosoitteita, kryptomaksuosoitteita ja metatietoja, kuten IP-osoitteita.

Noin 1 000 tietueessa oli myös salattuja käyttäjänimiä, jotka liittyivät ostoksiin.

Bitrefill sanoi käsittelevänsä tätä alijoukkoa mahdollisesti vaarantuneena ja on ottanut yhteyttä asianomaisiin käyttäjiin.

Yhtiön mukaan ei ole todisteita siitä, että asiakasdata olisi ollut ensisijainen kohde.

Sisäiset lokit osoittivat, että hyökkääjät suorittivat rajoitetun määrän kyselyjä, jotka keskittyivät kryptosaldoihin ja lahjakorttivarastoon sen sijaan, että koko tietokantaa olisi porattu.

Bitrefill totesi myös, että se säilyttää vain vähän henkilötietoja eikä vaadi pakollista KYC:tä, mikä saattoi pienentää altistuksen laajuutta.

Käyttäjiä on kehotettu olemaan varovaisia yllättävien viestien suhteen.

Palautuminen ja turvallisuustoimet

Bitrefill kertoi, että suurin osa järjestelmistä, mukaan lukien maksut, varastot ja tilit, ovat nyt takaisin verkossa ja transaktiomäärät palautumassa normaaliksi.

Yhtiö vahvisti, että se on edelleen kannattava ja kykenee absorboimaan tietomurron taloudelliset vaikutukset.

Vasteena se on ottanut käyttöön turvallisuusparannuksia.

Näitä ovat ulkoiset penetraatiotestaukset, tiukemmat käyttöoikeusvalvonnat, parannettu lokitus ja valvonta sekä päivitetyt häiriötilanteiden reagointimenettelyt.

Yhtiö jatkaa yhteistyötä tietoturvatutkijoiden, incident response -tiimien, on-chain-analyytikkojen ja lainvalvontaviranomaisten kanssa osana tutkintaa.

Bitrefill kuvaili tätä yli kymmenen vuoden toiminnan aikana sen ensimmäiseksi merkittäväksi tietoturvapoikkeamaksi ja kertoi ryhtyneensä toimiin puolustuksensa vahvistamiseksi hyökkäyksen jälkeen.