Bitrefill-hacket knyttet til Lazarus: hva det avslører om kryptorisiko

Betalings- og gavekortplattformen for kryptovaluta Bitrefill har gjenopptatt driften etter et cyberangrep den March 1, 2026 som eksponerte deler av infrastrukturen og kryptolommebøkene.

Etter en intern etterforskning tilskriver selskapet bruddet Lazarus Group, som er knyttet til Nord-Korea.

Angriperne fikk tilgang til produksjonsnøkler, tømte midler fra hot wallets, og fikk tilgang til et begrenset sett med kunders kjøpsregistre.

Bitrefill opplyste at de vil dekke alle tap med driftskapital.

Selv om tjenestene er tilbake til normal drift, understreker hendelsen risikoene kryptoplattformer står overfor og hvor sofistikerte statstilknyttede hackergrupper kan være.

Hvordan bruddet startet

Angrepet startet fra en kompromittert ansatts laptop som eksponerte eldre legitimasjon.

Dette gjorde det mulig for angriperne å bevege seg gjennom Bitrefills systemer og få tilgang til infrastruktur, inkludert databaser og kryptolommebøker.

Bruddet ble synlig da selskapet oppdaget uvanlig kjøpsatferd blant leverandører.

Angriperne utnyttet gavekortbeholdningen samtidig som de overførte midler ut av hot wallets.

Bitrefill svarte ved å ta systemene offline for å begrense hendelsen.

Selskapet bekreftet senere at angriperne brukte skadelig programvare, on-chain-sporing, og gjenbrukte IP- og e-postmønstre.

Disse metodene samsvarte med taktikker knyttet til Lazarus Group, også kjent som Bluenoroff.

Koblinger til tidligere angrep mot krypto

Lazarus Group har blitt knyttet til flere brudd i kryptosektoren.

Tidligere hendelser har rettet seg mot plattformer som Ronin Network, Harmony’s Horizon Bridge, WazirX, og Atomic Wallet.

Bitrefill sa at teknikkene brukt i dette angrepet viste likheter med tidligere saker.

Dette inkluderer å få tilgang via kompromitterte legitimasjoner, målretting mot hot wallets, og å flytte midler gjennom blokkjedenettverk.

En detaljert redegjørelse av hendelsen ble delt av selskapet på X, og skisserte hvordan angriperne kombinerte cyberinnbruddsmetoder med blokkjedebaserte flyttinger av midler.

Eksponering av kundedata

Bruddet innebar tilgang til rundt 18,500 kjøpsregistre.

Disse registrene inkluderte e-postadresser, kryptovalutabetalingsadresser og metadata som IP-adresser.

Omtrent 1,000 registre inneholdt også krypterte brukernavn knyttet til kjøpene.

Bitrefill sa at de behandler dette delsettet som potensielt kompromittert og har kontaktet berørte brukere.

Selskapet uttalte at det ikke finnes bevis for at kundedata var hovedmålet.

Interne logger viste at angriperne kjørte et begrenset antall spørringer fokusert på kryptosaldoer og gavekortbeholdning snarere enn å hente ut hele databasen.

Bitrefill bemerket også at de lagrer minimalt med personlig informasjon og ikke krever obligatorisk KYC, noe som kan ha begrenset omfanget av eksponeringen.

Brukere er blitt rådet til å være forsiktige med uventede henvendelser.

Gjenoppretting og sikkerhetstiltak

Bitrefill sa at de fleste systemer, inkludert betalinger, lager og kontoer, nå er tilbake online, med transaksjonsvolumene på vei tilbake til normalen.

Selskapet bekreftet at det fortsatt er lønnsomt og i stand til å absorbere den økonomiske virkningen av bruddet.

Som respons har det innført sikkerhetsoppgraderinger.

Disse inkluderer ekstern penetrasjonstesting, strengere tilgangskontroller, forbedret logging og overvåking, samt oppdaterte prosedyrer for håndtering av hendelser.

Selskapet fortsetter å samarbeide med sikkerhetsforskere, hendelseshåndteringsteam, on-chain-analytikere og rettshåndhevelse som en del av etterforskningen.

Bitrefill beskrev dette som sin første større sikkerhetshendelse i mer enn et tiår med drift, og sa at de har tatt tiltak for å styrke forsvaret etter angrepet.