Atacul asupra Bitrefill legat de Lazarus: ce dezvăluie despre riscurile cripto

Platforma de plăți în criptomonede și de carduri cadou Bitrefill și-a reluat operațiunile după ce un atac cibernetic din data de March 1, 2026 a expus părți ale infrastructurii sale și portofele cripto.

Compania a atribuit breșa grupului Lazarus, legat de Coreea de Nord, după o investigație internă.

Atacatorii au obținut acces la chei de producție, au golit fonduri din portofele hot și au accesat un set limitat de înregistrări ale achizițiilor clienților.

Bitrefill a declarat că va acoperi toate pierderile din capital operațional.

Deși serviciile au revenit la normal, incidentul evidențiază riscurile cu care se confruntă platformele cripto și nivelul de sofisticare al grupurilor de hackeri legate de state.

Cum a început breșa

Atacul a pornit de la laptopul unui angajat compromis care a expus credențiale vechi.

Acest lucru le-a permis atacatorilor să se miște prin sistemele Bitrefill și să obțină acces la infrastructură, inclusiv baze de date și portofele cripto.

Breșa a devenit vizibilă când compania a detectat un comportament neobișnuit de cumpărare în rândul furnizorilor.

Atacatorii exploatau inventarul cardurilor cadou în timp ce transferau fonduri din portofele hot.

Bitrefill a reacționat prin luarea sistemelor offline pentru a conține incidentul.

Compania a confirmat ulterior că atacatorii au folosit malware, urmărire on-chain și au reutilizat tipare de IP și email.

Aceste metode corespundeau tacticilor asociate grupului Lazarus, cunoscut și ca Bluenoroff.

Legături cu atacuri cripto anterioare

Grupul Lazarus a fost asociat cu mai multe breșe în sectorul criptomonedelor.

Incidente anterioare au vizat platforme precum Ronin Network, Horizon Bridge al Harmony, WazirX și Atomic Wallet.

Bitrefill a spus că tehnicile folosite în acest atac au prezentat similarități cu cazuri anterioare.

Acestea includ obținerea accesului prin credențiale compromise, vizarea portofelelor hot și transferul fondurilor prin rețele blockchain.

Un raport detaliat al incidentului a fost publicat de companie pe X, descriind cum atacatorii au combinat metode de intruziune cibernetică cu mișcări de fonduri bazate pe blockchain.

Expunerea datelor clienților

Breșa a implicat acces la aproximativ 18.500 de înregistrări ale achizițiilor.

Aceste înregistrări includeau adrese de e-mail, adrese de plată în criptomonede și metadate precum adrese IP.

Aproximativ 1.000 de înregistrări conțineau, de asemenea, nume de utilizator criptate legate de achiziții.

Bitrefill a declarat că tratează acest subset ca potențial compromis și a contactat utilizatorii afectați.

Compania a afirmat că nu există dovezi că datele clienților au fost ținta principală.

Jurnalele interne au arătat că atacatorii au rulat un număr limitat de interogări, concentrate pe soldurile în criptomonede și inventarul cardurilor cadou, mai degrabă decât pe extragerea întregii baze de date.

Bitrefill a mai menționat că păstrează informații personale minimale și nu cere KYC obligatoriu, ceea ce ar fi putut reduce amploarea expunerii.

Utilizatorilor li s-a recomandat să rămână precauți în privința comunicațiilor neașteptate.

Recuperare și măsuri de securitate

Bitrefill a spus că majoritatea sistemelor, inclusiv plățile, stocurile și conturile, sunt acum din nou online, iar volumele de tranzacții revin la normal.

Compania a confirmat că rămâne profitabilă și capabilă să absoarbă impactul financiar al breșei.

Ca răspuns, a introdus actualizări de securitate.

Acestea includ testări de penetrare externe, controale de acces mai stricte, îmbunătățirea logării și monitorizării și proceduri actualizate de răspuns la incidente.

Compania continuă să colaboreze cu cercetători în securitate, echipe de răspuns la incidente, analiști on-chain și autorități de aplicare a legii ca parte a investigației.

Bitrefill a descris aceasta ca fiind primul său incident major de securitate în mai mult de un deceniu de operațiuni și a spus că a luat măsuri pentru a-și întări apărările după atac.