Hackeraggio a Bitrefill collegato a Lazarus: cosa rivela sui rischi delle criptovalute

La piattaforma di pagamenti in criptovalute e di gift card Bitrefill ha ripreso le operazioni dopo che un attacco informatico il 1° marzo 2026 ha esposto parti della sua infrastruttura e dei suoi wallet di criptovalute.

L'azienda ha attribuito la violazione al Lazarus Group, collegato alla Corea del Nord, a seguito di un'indagine interna.

Gli attaccanti hanno ottenuto l'accesso alle chiavi di produzione, svuotato fondi dai hot wallet e consultato un insieme limitato di registrazioni di acquisti dei clienti.

Bitrefill ha dichiarato che coprirà tutte le perdite con capitale operativo.

Sebbene i servizi siano tornati alla normalità, l'incidente mette in evidenza i rischi che affrontano le piattaforme di criptovalute e la sofisticazione dei gruppi di hacker legati a stati.

Come è iniziata la violazione

L'attacco ha avuto origine dal laptop compromesso di un dipendente che ha esposto credenziali legacy.

Ciò ha permesso agli attaccanti di muoversi attraverso i sistemi di Bitrefill e accedere all'infrastruttura, inclusi database e wallet di criptovalute.

La violazione è emersa quando l'azienda ha rilevato comportamenti d'acquisto insoliti tra i fornitori.

Gli attaccanti sfruttavano l'inventario delle gift card mentre trasferivano fondi fuori dai hot wallet.

Bitrefill ha risposto mettendo i sistemi offline per contenere l'incidente.

L'azienda ha poi confermato che gli attaccanti hanno utilizzato malware, tracciamento on-chain e hanno riutilizzato indirizzi IP e schemi di email.

Questi metodi corrispondevano a tattiche associate al Lazarus Group, noto anche come Bluenoroff.

Collegamenti a precedenti attacchi nel settore delle criptovalute

Il Lazarus Group è stato collegato a diverse violazioni nel settore delle criptovalute.

Incidenti precedenti hanno preso di mira piattaforme come Ronin Network, l'Horizon Bridge di Harmony, WazirX e Atomic Wallet.

Bitrefill ha dichiarato che le tecniche utilizzate in questo attacco mostravano somiglianze con casi precedenti.

Queste includevano l'accesso tramite credenziali compromesse, il prendere di mira i hot wallet e lo spostamento di fondi attraverso reti blockchain.

Un resoconto dettagliato dell'incidente è stato condiviso dall'azienda su X, delineando come gli attaccanti abbiano combinato metodi di intrusione informatica con movimenti di fondi basati su blockchain.

Esposizione dei dati dei clienti

La violazione ha comportato l'accesso a circa 18.500 record di acquisto.

Questi record includevano indirizzi email, indirizzi di pagamento in criptovalute e metadati come indirizzi IP.

Circa 1.000 record contenevano anche nomi utente crittografati collegati agli acquisti.

Bitrefill ha dichiarato di considerare questo sottoinsieme potenzialmente compromesso e ha contattato gli utenti interessati.

L'azienda ha affermato che non ci sono prove che i dati dei clienti fossero l'obiettivo primario.

I log interni hanno mostrato che gli attaccanti hanno eseguito un numero limitato di query concentrate sui saldi di criptovalute e sull'inventario delle gift card piuttosto che estrarre l'intero database.

Bitrefill ha inoltre osservato di conservare informazioni personali minime e di non richiedere KYC obbligatorio, il che potrebbe aver ridotto la portata dell'esposizione.

Agli utenti è stato consigliato di rimanere cauti riguardo a comunicazioni inattese.

Ripristino e misure di sicurezza

Bitrefill ha dichiarato che la maggior parte dei sistemi, inclusi pagamenti, stock e conti, è ora nuovamente online, con i volumi di transazione che tornano alla normalità.

L'azienda ha confermato di rimanere redditizia e in grado di assorbire l'impatto finanziario della violazione.

In risposta, ha introdotto aggiornamenti di sicurezza.

Questi includono penetration test esterni, controlli di accesso più rigorosi, miglior logging e monitoraggio, e procedure di risposta agli incidenti aggiornate.

L'azienda continua a collaborare con ricercatori di sicurezza, team di risposta agli incidenti, analisti on-chain e forze dell'ordine nell'ambito dell'indagine.

Bitrefill ha descritto questo come il suo primo grande incidente di sicurezza in oltre un decennio di attività e ha dichiarato di aver adottato misure per rafforzare le proprie difese a seguito dell'attacco.