Bitrefill a dezvăluit că a fost ținta unui atac cibernetic pe 1 martie, care a dus la furtul de fonduri cripto, și a declarat că investigația sa a găsit multiple indicii care leagă incidentul de tacticile folosite de grupul Lazarus/Bluenoroff, asociat cu RPDC. Compania a afirmat că similaritățile în metodele atacatorilor, malware, modelele de urmărire on-chain și reutilizarea adreselor IP și de e-mail sunt conforme cu operațiunile anterioare atribuite grupului.
**Atacul cibernetic Bitrefill**
Potrivit companiei, breșa a provenit de la laptopul compromis al unui angajat, unde a fost extrasă o acreditare veche. Această acreditare a permis accesul la un instantaneu care conținea secrete de producție, pe care atacatorii le-au folosit apoi pentru a-și extinde accesul în sistemele Bitrefill. Acest lucru le-a permis să ajungă în părți ale bazei de date și în anumite portofele cripto.
În ultimul său tweet, Bitrefill a declarat că a identificat inițial incidentul după ce a detectat modele neobișnuite de achiziție care implică unii furnizori, ceea ce a indicat că inventarul și fluxurile de aprovizionare cu carduri cadou erau utilizate greșit. În același timp, a observat că unele portofele fierbinți erau golite, iar fondurile erau trimise la adrese controlate de atacatori. Odată ce breșa a fost confirmată, compania a închis toate sistemele pentru a limita situația.
În urma incidentului, Bitrefill a confirmat că a lucrat cu experți externi în securitate cibernetică, echipe de răspuns la incidente, analiști blockchain și forțele de ordine. Compania a declarat că nu există nicio indicație că datele clienților au fost principalul obiectiv al atacului. Conform jurnalelor sale, atacatorii au efectuat un număr limitat de interogări în baza de date, compatibile cu activitatea de sondare pentru a identifica ce ar putea fi extras. Acesta a inclus criptomonede și inventar de carduri cadou.
Bitrefill a adăugat că stochează date personale minime și nu necesită KYC obligatoriu, orice informație de verificare fiind deținută de un furnizor extern. Cu toate acestea, a confirmat că au fost accesate aproximativ 18.500 de înregistrări de achiziții, inclusiv adrese de e-mail, adrese de plată cripto și metadate, cum ar fi adresele IP. În aproximativ 1.000 de cazuri în care clienții au furnizat nume pentru produse specifice, informațiile au fost criptate, dar compania le tratează ca fiind potențial accesate din cauza posibilei expuneri a cheilor de criptare. Acești utilizatori au fost notificați.
Bitrefill a spus că nu crede în prezent că clienții trebuie să ia măsuri specifice, dar a recomandat vigilență cu privire la orice comunicare neașteptată legată de Bitrefill sau de criptomonede. Compania a adăugat că și-a consolidat măsurile de securitate, inclusiv efectuarea de revizuiri externe suplimentare de securitate cibernetică și teste de penetrare, înăsprirea controalelor interne de acces, îmbunătățirea sistemelor de monitorizare și înregistrare și rafinarea procedurilor de răspuns la incidente. A spus că pierderile financiare vor fi acoperite din capitalul său operațional și că majoritatea serviciilor, inclusiv plățile și inventarul, au fost restabilite.
**Haosul Lazarus**
Chiar dacă multe platforme cripto și-au intensificat cadrele de securitate în ultimii ani, actorii amenințători continuă să ocolească protecțiile. Grupul Lazarus rămâne cel mai persistent și periculos adversar al sectorului, responsabil pentru cel mai mare hack cripto înregistrat după ce a furat 1,4 miliarde de dolari de la Bybit în februarie 2025.
Investigatorul blockchain ZachXBT a spus anterior că breșele care implică platforme precum Bybit, DMM Bitcoin și WazirX au văzut fonduri furate spălate cu ușurință. Investigatorul on-chain a adăugat că grupurile de spălare „aparent au câștigat bătălia” asupra aplicării legii.