Bitrefill-hack kopplas till Lazarus: vad det säger om kryptorisker

Plattformen för kryptobetalningar och gåvokort, Bitrefill, har återupptagit verksamheten efter en cyberattack den 1 mars 2026 som blottlade delar av dess infrastruktur och kryptoplånböcker.

Företaget har, efter en intern utredning, pekat ut Lazarus Group, som kopplas till Nordkorea.

Angripare fick tillgång till produktionsnycklar, tömde medel från varma plånböcker och fick åtkomst till ett begränsat antal kunders köpregister.

Bitrefill uppgav att det kommer att täcka alla förluster med driftskapital.

Även om tjänsterna återgått till det normala belyser händelsen riskerna för kryptoplattformar och den tekniska sofistikeringen hos statligt kopplade hackargrupper.

Hur intrånget började

Attacken initierades från en komprometterad medarbetares laptop som avslöjade ärvda autentiseringsuppgifter.

Det gjorde det möjligt för angriparna att röra sig inom Bitrefills system och få åtkomst till infrastruktur, inklusive databaser och kryptoplånböcker.

Intrånget blev synligt när företaget upptäckte ovanligt köpbeteende bland leverantörer.

Angriparna utnyttjade gåvokortsbeståndet samtidigt som de överförde medel från varma plånböcker.

Bitrefill svarade genom att ta systemen offline för att begränsa incidenten.

Företaget bekräftade senare att angriparna använde skadlig kod, on-chain-spårning och återanvände IP- och e-postmönster.

Dessa metoder matchade taktiker som förknippas med Lazarus Group, även känd som Bluenoroff.

Kopplingar till tidigare attacker inom kryptosektorn

Lazarus Group har kopplats till flera intrång inom kryptosektorn.

Tidigare incidenter har riktats mot plattformar som Ronin Network, Harmony’s Horizon Bridge, WazirX och Atomic Wallet.

Bitrefill uppgav att teknikerna i denna attack visade likheter med tidigare fall.

Dessa inkluderar att skaffa åtkomst via komprometterade autentiseringsuppgifter, att rikta in sig på varma plånböcker och att flytta medel genom blockkedjenätverk.

En detaljerad redogörelse för incidenten delades av företaget på X, där man beskrev hur angriparna kombinerade cyberintrångsmetoder med blockkedjebaserade penningrörelser.

Exponering av kunddata

Intrånget innefattade åtkomst till cirka 18 500 köpregister.

Dessa register innehöll e-postadresser, kryptovalutabetalningsadresser och metadata såsom IP-adresser.

Ungefär 1 000 poster innehöll också krypterade användarnamn knutna till köp.

Bitrefill uppgav att man betraktar denna undergrupp som potentiellt komprometterad och har kontaktat berörda användare.

Företaget uppgav att det inte finns några bevis för att kunddata var huvudmålet.

Interna loggar visade att angriparna körde ett begränsat antal förfrågningar inriktade på kryptosaldon och gåvokortsbestånd snarare än att extrahera hela databasen.

Bitrefill noterade också att företaget lagrar minimalt med personuppgifter och inte kräver obligatorisk KYC, vilket kan ha begränsat omfattningen av exponeringen.

Användare har uppmanats att vara försiktiga med oväntade meddelanden.

Återhämtning och säkerhetsåtgärder

Bitrefill uppgav att de flesta system, inklusive betalningar, lager och konton, nu är tillbaka online och att transaktionsvolymerna återgår till det normala.

Företaget bekräftade att det fortfarande är lönsamt och kan absorbera den finansiella påverkan av intrånget.

Som svar har det infört säkerhetsuppgraderingar.

Dessa inkluderar extern penetrationstestning, striktare åtkomstkontroller, förbättrad loggning och övervakning samt uppdaterade incidenthanteringsrutiner.

Företaget fortsätter att arbeta med säkerhetsforskare, incidenthanteringsteam, on-chain-analytiker och rättsväsendet som en del av utredningen.

Bitrefill beskrev detta som sin första större säkerhetsincident under mer än ett decennium av verksamhet och uppgav att det har vidtagit åtgärder för att stärka sitt försvar efter attacken.