Платформа для криптовалютных платежей и подарочных карт Bitrefill обвинила хакерскую группу Lazarus, связанную с Северной Кореей, в кибератаке 1 марта 2026 года, которая скомпрометировала части её инфраструктуры и криптовалютные кошельки.

Злоумышленники получили доступ к производственным ключам, перевели средства с горячих кошельков и раскрыли 18 500 записей о покупках, содержащих электронные адреса, платежные адреса и IP-адреса.

Приблизительно 1 000 записей включали зашифрованные имена пользователей. Затронутые пользователи были уведомлены. Операции возобновлены, компания объявила о покрытии убытков из операционного капитала. Инцидент подчеркивает важность бдительности в отношении криптовалют и он-чейн безопасности.

Способ действия включал вредоносное ПО, он-чейн отслеживание и повторно использованные IP-адреса и адреса электронной почты и был похож на предыдущие атаки, приписываемые группе Lazarus из Северной Кореи, также известной как Bluenoroff, сообщила компания в подробном отчете на X.

Группа Lazarus ранее нацеливалась на криптопроекты, включая Ronin Network, Horizon Bridge от Harmony, WazirX и Atomic Wallet.

Как развивалась атака

Всё началось с компрометации ноутбука сотрудника, который раскрыл устаревшие учетные данные и позволил злоумышленникам получить доступ к более широкой инфраструктуре Bitrefill, включая части его базы данных и криптовалютные кошельки.

Взлом быстро стал очевидным, когда компания заметила необычные модели покупок среди определенных поставщиков, сигнализируя о том, что злоумышленники эксплуатируют её запасы подарочных карт и цепочки поставок. Фирма также отметила, что злоумышленники опустошают некоторые горячие кошельки и перемещают средства на свои собственные адреса, после чего система была отключена для сдерживания ущерба.

«Bitrefill ведет глобальный бизнес электронной коммерции с десятками поставщиков, тысячами продуктов и несколькими методами оплаты во многих странах. Безопасное отключение всех этих вещей и возвращение их в онлайн не является тривиальным», — говорится в заявлении компании.

После инцидента Bitrefill работает с исследователями безопасности, группами реагирования на инциденты, он-чейн аналитиками и правоохранительными органами для расследования взлома.

Влияние на данные клиентов

Хакеры получили доступ к небольшому набору записей о покупках, приблизительно 18 500, содержащих

Bitrefill заявил, что нет доказательств того, что данные клиентов были основной целью. Его журналы показывают, что злоумышленники выполнили ограниченное количество запросов, нацеленных на криптовалютные активы и запасы подарочных карт, а не извлекали всю базу данных.

Платформа хранит минимальные персональные данные и не требует обязательной KYC. Был получен доступ к небольшому подмножеству записей о покупках, приблизительно 18 500, содержащих такую информацию, как адреса электронной почты, криптовалютные платежные адреса и метаданные, включая IP-адреса. Около 1 000 записей содержали зашифрованные имена для конкретных продуктов; компания рассматривает эти данные как потенциально скомпрометированные и уведомила затронутых клиентов напрямую по электронной почте.

В настоящее время Bitrefill не считает, что клиентам нужно предпринимать какие-либо дополнительные действия, хотя советует проявлять осторожность в отношении неожиданных сообщений, связанных с Bitrefill или криптовалютой.

Шаги по усилению безопасности

В ответ на взлом Bitrefill заявил, что уже укрепил свои методы кибербезопасности и работает над извлечением уроков из инцидента.

Компания описала несколько мер, включая проведение комплексных тестов на проникновение с внешними экспертами, ужесточение внутреннего контроля доступа, улучшение журналирования и мониторинга для более быстрого обнаружения угроз и усовершенствование процедур реагирования на инциденты и автоматизированных протоколов отключения.

Взгляд в будущее

Bitrefill признал, что это была его первая крупная атака за более чем десятилетие работы, но подчеркнул, что остается хорошо финансируемым и прибыльным, способным поглощать операционные убытки. Большинство систем, включая платежи, склад и счета, снова в сети, объемы продаж возвращаются к норме.

«Попасть под изощренную атаку — это отстой (очень сильно)», — сказала компания. «Но мы выжили. Мы продолжим делать все возможное, чтобы продолжать заслуживать доверие наших клиентов».