Le piratage de Bitrefill lié à Lazarus : ce qu'il révèle sur les risques crypto

La plateforme de paiements en cryptomonnaies et de cartes-cadeaux Bitrefill a repris ses activités après qu'une cyberattaque survenue le 1er mars 2026 a exposé des pans de son infrastructure et des portefeuilles de cryptomonnaies.

La société a attribué la faille au Lazarus Group, lié à la Corée du Nord, à la suite d'une enquête interne.

Les attaquants ont obtenu l'accès aux clés de production, vidé des fonds de portefeuilles chauds et accédé à un ensemble limité d'enregistrements d'achats clients.

Bitrefill a indiqué qu'elle couvrirait l'ensemble des pertes en utilisant son capital opérationnel.

Si les services sont revenus à la normale, l'incident met en lumière les risques auxquels sont exposées les plateformes crypto et la sophistication des groupes de piratage liés à des États.

Comment la brèche a commencé

L'attaque a pris naissance à partir de l'ordinateur portable compromis d'un employé qui a exposé des identifiants hérités.

Cela a permis aux attaquants de se déplacer latéralement dans les systèmes de Bitrefill et d'accéder à l'infrastructure, y compris aux bases de données et aux portefeuilles de cryptomonnaies.

La faille est devenue visible lorsque la société a détecté un comportement d'achat inhabituel chez certains fournisseurs.

Les attaquants exploitaient le stock de cartes-cadeaux tout en transférant des fonds depuis les portefeuilles chauds.

Bitrefill a réagi en mettant les systèmes hors ligne afin de contenir l'incident.

La société a confirmé par la suite que les attaquants ont utilisé des logiciels malveillants, des analyses on-chain et la réutilisation de motifs d'adresses IP et d'e-mails.

Ces méthodes correspondaient aux tactiques associées au Lazarus Group, également connu sous le nom de Bluenoroff.

Liens avec des attaques crypto antérieures

Le Lazarus Group a été lié à plusieurs violations dans le secteur des cryptomonnaies.

Des incidents précédents ont ciblé des plateformes telles que Ronin Network, le Horizon Bridge d'Harmony, WazirX et Atomic Wallet.

Bitrefill a déclaré que les techniques employées dans cette attaque présentaient des similarités avec des cas antérieurs.

Cela inclut l'accès via des identifiants compromis, le ciblage de portefeuilles chauds et le transfert de fonds via des réseaux blockchain.

Un compte-rendu détaillé de l'incident a été publié par la société sur X, décrivant comment les attaquants ont combiné des méthodes d'intrusion informatique avec des mouvements de fonds basés sur la blockchain.

Exposition des données clients

La faille a impliqué l'accès à environ 18 500 enregistrements d'achats.

Ces enregistrements comprenaient des adresses e-mail, des adresses de paiement en cryptomonnaies et des métadonnées telles que des adresses IP.

Environ 1 000 enregistrements contenaient également des noms d'utilisateur chiffrés liés aux achats.

Bitrefill a indiqué qu'elle considérait cet ensemble comme potentiellement compromis et a contacté les utilisateurs affectés.

La société a déclaré qu'il n'existait aucune preuve que les données clients constituaient la cible principale.

Les journaux internes ont montré que les attaquants ont exécuté un nombre limité de requêtes axées sur les soldes en cryptomonnaies et le stock de cartes-cadeaux plutôt que d'extraire l'intégralité de la base de données.

Bitrefill a également noté qu'elle stocke un minimum d'informations personnelles et n'exige pas de KYC obligatoire, ce qui a pu réduire l'ampleur de l'exposition.

Les utilisateurs ont été invités à faire preuve de prudence face aux communications inattendues.

Rétablissement et mesures de sécurité

Bitrefill a indiqué que la plupart des systèmes, y compris les paiements, les stocks et les comptes, sont désormais de nouveau en ligne, les volumes de transactions revenant à la normale.

La société a confirmé qu'elle reste rentable et capable d'absorber l'impact financier de la brèche.

En réponse, elle a mis en place des améliorations de sécurité.

Celles-ci comprennent des tests de pénétration externes, des contrôles d'accès renforcés, une meilleure journalisation et surveillance, ainsi que des procédures de réponse aux incidents mises à jour.

La société continue de collaborer avec des chercheurs en sécurité, des équipes d'intervention, des analystes on-chain et les forces de l'ordre dans le cadre de l'enquête.

Bitrefill a décrit cet incident comme son premier incident de sécurité majeur en plus d'une décennie d'activité et a déclaré avoir pris des mesures pour renforcer ses défenses suite à l'attaque.