Cryptocurrency-betalings- en cadeaukaartenplatform Bitrefill heeft de Noord-Korea-gelinkte hackgroep Lazarus de schuld gegeven van een cyberaanval op 1 maart 2026, waarbij delen van zijn infrastructuur en cryptocurrency-wallets werden gecompromitteerd.

De aanvallers kregen toegang tot productie-sleutels, boekten geld over van hot wallets en legden 18.500 aankoopgegevens bloot met e-mails, betalingsadressen en IP-adressen.

Ongeveer 1.000 records bevatten versleutelde gebruikersnamen. Getroffen gebruikers werden op de hoogte gesteld. De activiteiten zijn hervat en het bedrijf kondigde aan de verliezen uit operationeel kapitaal te dekken. Het incident onderstreept het belang van waakzaamheid met betrekking tot crypto- en on-chain beveiliging.

De werkwijze omvatte malware, on-chain tracking en hergebruikte IP- en e-mailadressen en was vergelijkbaar met eerdere aanvallen die werden toegeschreven aan de Lazarus Group uit Noord-Korea, ook bekend als Bluenoroff, aldus het bedrijf in een gedetailleerd rapport op X.

De Lazarus Group heeft eerder crypto-projecten gericht, waaronder Ronin Network, Harmony's Horizon Bridge, WazirX en Atomic Wallet.

Hoe de aanval zich ontvouwde

Het begon allemaal met een gecompromitteerde laptop van een medewerker, die oude inloggegevens blootlegde en aanvallers toegang gaf tot de bredere infrastructuur van Bitrefill, inclusief delen van zijn database en cryptocurrency-wallets.

De inbreuk werd snel duidelijk toen het bedrijf ongebruikelijke aankooppatronen bij bepaalde leveranciers opmerkte, wat erop wees dat aanvallers zijn cadeaukaartenvoorraad en toeleveringsketens misbruikten. Het bedrijf merkte ook op dat aanvallers enkele hot wallets leegden en geld naar hun eigen adressen verplaatsten, waarna het systeem offline werd gehaald om de schade te beperken.

"Bitrefill beheert een wereldwijd e-commercebedrijf met tientallen leveranciers, duizenden producten en meerdere betaalmethoden in veel landen. Het veilig uitschakelen van al deze dingen en ze weer online brengen is geen kleine opgave," zei het bedrijf in een verklaring.

Sinds het incident werkt Bitrefill samen met beveiligingsonderzoekers, incidentrespons-teams, on-chain-analisten en wetshandhavers om de inbreuk te onderzoeken.

Impact op klantgegevens

Hackers kregen toegang tot een kleine set aankoopgegevens, ongeveer 18.500, met

Bitrefill zei dat er geen bewijs is dat klantgegevens een primair doelwit waren. Zijn logboeken geven aan dat aanvallers een beperkt aantal queries uitvoerden gericht op cryptocurrency-bezittingen en cadeaukaartenvoorraad in plaats van de hele database te extraheren.

Het platform slaat minimale persoonlijke gegevens op en vereist geen verplichte KYC. Een kleine subset van aankoopgegevens, ongeveer 18.500, werd benaderd, met informatie zoals e-mailadressen, crypto-betalingsadressen en metadata inclusief IP-adressen. Ongeveer 1.000 records bevatten versleutelde namen voor specifieke producten; het bedrijf behandelt deze gegevens als mogelijk gecompromitteerd en heeft getroffen klanten rechtstreeks per e-mail op de hoogte gesteld.

Momenteel gelooft Bitrefill niet dat klanten aanvullende actie hoeven te ondernemen, hoewel het voorzichtigheid adviseert bij onverwachte communicatie met betrekking tot Bitrefill of cryptocurrency.

Stappen om de beveiliging te versterken

Als reactie op de inbreuk zei Bitrefill dat het zijn cyberbeveiligingspraktijken al heeft versterkt en werkt aan het trekken van lessen uit het incident.

Het bedrijf schetste verschillende maatregelen, waaronder het uitvoeren van uitgebreide penetratietests met externe experts, het aanscherpen van interne toegangscontroles, het verbeteren van logging en monitoring voor snellere dreigingsdetectie, en het verfijnen van incidentrespons-procedures en geautomatiseerde afsluitprotocollen.

Vooruitkijkend

Bitrefill erkende dat dit zijn eerste grote aanval was in meer dan tien jaar operatie, maar benadrukte dat het goed gefinancierd en winstgevend blijft, in staat om operationele verliezen op te vangen. De meeste systemen, inclusief betalingen, voorraad en accounts, zijn weer online, waarbij de verkoopvolumes terugkeren naar normaal.

"Getroffen worden door een geavanceerde aanval is vreselijk (heel erg)," zei het bedrijf. "Maar we hebben het overleefd. We zullen ons best blijven doen om het vertrouwen van onze klanten te blijven verdienen."