Группировку Lazarus заподозрили в атаке на сервис Bitrefill

1 марта криптовалютный интернет-магазин Bitrefill подвергся кибератаке. Команда проекта связала инцидент с северокорейской группировкой Lazarus Group (подразделение BlueNoroff).

Представители платформы сообщили об атаке 17 марта. Эксперты обнаружили сходство с предыдущими взломами злоумышленников по используемому вредоносному ПО, методам работы, ончейн-следам и IP-адресам.

Вектор атаки

Взлом начался с компрометации ноутбука сотрудника. Хакеры похитили старые учетные данные, которые позволили добраться до «снимка» системы с производственными данными. Это дало мошенникам возможность повысить привилегии и получить доступ к инфраструктуре, включая базы данных и криптовалютные кошельки.

Команда безопасности заметила подозрительные операции с подарочными картами и вывод средств с горячих кошельков на адреса взломщиков. После обнаружения угрозы все системы отключили.

Утечка данных

Согласно расследованию, злоумышленники просмотрели около 18 500 записей о покупках. Утечка включает:

• адреса электронной почты;
• криптовалютные адреса;
• метаданные, включая IP-адреса.

Примерно в 1000 случаев клиенты указывали свои имена для покупки специфических товаров. Эта информация хранилась в зашифрованном виде, но хакеры могли получить ключи. Bitrefill рассматривает эти данные как скомпрометированные и уже уведомил пострадавших пользователей.   

Данные верификации не затронуты, так как они хранятся у внешнего провайдера и не имеют резервных копий в системе Bitrefill.

Компания заявила, что покроет финансовые потери за счет собственного операционного капитала. В настоящее время работа сервиса полностью восстановлена.

К расследованию привлекли правоохранительные органы и фирмы по кибербезопасности, включая Security Alliance и zeroShadow. Bitrefill усилил меры защиты, внедрил дополнительные инструменты мониторинга и пересмотрел процедуры реагирования на инциденты.

Напомним, в феврале потери крипторынка от взломов упали до минимума за 11 месяцев.