Bitrefill-hack gelinkt aan Lazarus: wat het onthult over cryptorisico's

Platform voor cryptovalutabetalingen en cadeaukaarten Bitrefill is de activiteiten hervat nadat een cyberaanval op 1 maart 2026 delen van zijn infrastructuur en cryptovalutawallets blootlegde.

Het bedrijf schrijft de inbreuk na een intern onderzoek toe aan de aan Noord-Korea gelinkte Lazarus Group.

Aanvallers kregen toegang tot productiesleutels, onttrokken fondsen uit hot wallets en verkregen toegang tot een beperkte set klantenaankoopgegevens.

Bitrefill zei dat het alle verliezen zal dekken met operationeel kapitaal.

Hoewel de diensten zijn hervat, benadrukt het incident de risico's voor cryptoplatforms en de geraffineerdheid van door staten gesteunde hackgroepen.

Hoe de inbreuk begon

De aanval begon bij de gecompromitteerde laptop van een medewerker waardoor verouderde inloggegevens werden blootgelegd.

Dat stelde aanvallers in staat zich te verplaatsen binnen Bitrefill’s systemen en toegang te krijgen tot infrastructuur, waaronder databases en cryptovalutawallets.

De inbreuk werd zichtbaar toen het bedrijf abnormaal koopgedrag bij leveranciers detecteerde.

Aanvallers maakten misbruik van de voorraad cadeaukaarten terwijl ze fondsen uit hot wallets verplaatsten.

Bitrefill reageerde door systemen offline te halen om het incident te beperken.

Het bedrijf bevestigde later dat aanvallers malware gebruikten, on-chain-analyses toepasten en hergebruikten IP- en e-mailpatronen vertoonden.

Deze methoden komen overeen met tactieken die worden geassocieerd met de Lazarus Group, ook bekend als Bluenoroff.

Koppelingen met eerdere crypto-aanvallen

De Lazarus Group is in verband gebracht met meerdere inbreuken in de cryptosector.

Eerdere incidenten richtten zich op platforms zoals Ronin Network, Harmony’s Horizon Bridge, WazirX en Atomic Wallet.

Bitrefill zei dat de in deze aanval gebruikte technieken overeenkomsten vertoonden met eerdere gevallen.

Daartoe behoren toegang via gecompromitteerde inloggegevens, het richten op hot wallets en het verplaatsen van fondsen via blockchain-netwerken.

Een gedetailleerd verslag van het incident deelde het bedrijf op X, waarin wordt uitgelegd hoe aanvallers cyberinbraakmethoden combineerden met blockchain-gebaseerde fondstransacties.

Blootstelling van klantgegevens

Bij de inbreuk was er toegang tot ongeveer 18.500 aankoopgegevens.

Deze gegevens omvatten e-mailadressen, cryptovalutabetaaladressen en metadata zoals IP-adressen.

Ongeveer 1.000 records bevatten ook versleutelde gebruikersnamen die aan aankopen waren gekoppeld.

Bitrefill zei dat het deze subset als mogelijk gecompromitteerd beschouwt en dat getroffen gebruikers zijn geïnformeerd.

Het bedrijf verklaarde dat er geen bewijs is dat klantgegevens het primaire doelwit waren.

Interne logs toonden aan dat aanvallers een beperkt aantal queries uitvoerden gericht op cryptosaldi en voorraad cadeaukaarten in plaats van het volledig extraheren van de database.

Bitrefill merkte ook op dat het minimale persoonlijke informatie opslaat en geen verplichte KYC vereist, wat mogelijk de omvang van de blootstelling heeft beperkt.

Gebruikers is geadviseerd waakzaam te blijven bij onverwachte communicatie.

Herstel en beveiligingsmaatregelen

Bitrefill zei dat de meeste systemen, waaronder betalingen, voorraad en accounts, nu weer online zijn en dat de transacties weer normaal draaien.

Het bedrijf bevestigde dat het nog steeds winstgevend is en in staat is de financiële impact van de inbreuk op te vangen.

Als reactie heeft het beveiligingsupgrades doorgevoerd.

Daartoe behoren externe penetratietests, strengere toegangscontroles, verbeterde logging en monitoring, en bijgewerkte incidentresponsprocedures.

Het bedrijf werkt verder samen met securityonderzoekers, incidentresponsteams, on-chain-analisten en rechtshandhaving als onderdeel van het onderzoek.

Bitrefill omschreef dit als zijn eerste grote beveiligingsincident in meer dan een decennium aan activiteiten en zei dat het stappen heeft ondernomen om zijn verdedigingslinies te versterken na de aanval.