Хакеры, связанные с Северной Кореей, подозреваются во взломе Bitrefill, опустошившем кошельки

Bitrefill сообщила, что стала целью кибератаки 1 марта, в результате которой были украдены криптовалютные средства, и заявила, что её расследование обнаружило множество индикаторов, связывающих инцидент с тактикой, используемой связанной с КНДР группой Lazarus/Bluenoroff.

Компания заявила, что сходства в методах злоумышленников, вредоносном ПО, схемах ончейн-отслеживания и повторном использовании IP и email-адресов соответствуют предыдущим операциям, приписываемым этой группе.

Кибератака на Bitrefill

По данным компании, взлом начался со скомпрометированного ноутбука сотрудника, откуда были извлечены устаревшие учётные данные. Эти учётные данные позволили получить доступ к снимку, содержащему производственные секреты, которые злоумышленники затем использовали для расширения своего доступа к системам Bitrefill. Это позволило им получить доступ к частям базы данных и определённым криптовалютным кошелькам.

В своём последнем твите Bitrefill сообщила, что впервые выявила инцидент после обнаружения необычных схем покупок с участием некоторых поставщиков, что указывало на неправомерное использование её инвентаря подарочных карт и потоков поставок. В то же время было замечено, что некоторые горячие кошельки опустошаются, а средства отправляются на адреса, контролируемые злоумышленниками. После подтверждения взлома компания отключила все системы для локализации ситуации.

После инцидента Bitrefill подтвердила, что работает с внешними экспертами по кибербезопасности, командами реагирования на инциденты, аналитиками блокчейна и правоохранительными органами.

Компания заявила, что нет признаков того, что данные клиентов были основной целью атаки. Согласно её журналам, злоумышленники выполнили ограниченное количество запросов к базе данных, соответствующих зондирующей активности для определения того, что может быть извлечено. Это включало криптовалюту и инвентарь подарочных карт. Bitrefill добавила, что хранит минимальные персональные данные и не требует обязательной верификации KYC, при этом любая информация для верификации хранится у внешнего провайдера.

Однако она подтвердила, что было получено около 18 500 записей о покупках, включая адреса электронной почты, платёжные криптовалютные адреса и метаданные, такие как IP-адреса. Примерно в 1 000 случаях, когда клиенты предоставили имена для конкретных продуктов, информация была зашифрована, но компания рассматривает её как потенциально доступную из-за возможного раскрытия ключей шифрования. Эти пользователи были уведомлены.

Bitrefill заявила, что в настоящее время не считает необходимым для клиентов предпринимать конкретные действия, но рекомендовала проявлять бдительность в отношении любых неожиданных сообщений, связанных с Bitrefill или криптовалютой.

Компания добавила, что усилила свои меры безопасности, включая проведение дополнительных внешних проверок кибербезопасности и тестирования на проникновение, ужесточение внутреннего контроля доступа, улучшение систем мониторинга и журналирования, а также совершенствование процедур реагирования на инциденты. Она заявила, что финансовые потери будут покрыты из её операционного капитала, и что большинство сервисов, включая платежи и инвентарь, были восстановлены.

Разрушения Lazarus

Даже несмотря на то, что многие крипто-платформы усилили свои структуры безопасности в последние годы, злоумышленники продолжают обходить защиту. Группа Lazarus остаётся наиболее настойчивым и опасным противником сектора, ответственным за крупнейший крипто-взлом в истории после кражи 1,4 миллиарда $ у Bybit в феврале 2025 года.

Блокчейн-следователь ZachXBT ранее заявил, что взломы, затронувшие такие платформы, как Bybit, DMM Bitcoin и WazirX, показали, что украденные средства легко отмываются. Ончейн-следователь добавил, что группы по отмыванию «похоже, выиграли битву» над правоохранительными органами.

Статья "Хакеры, связанные с Северной Кореей, подозреваются во взломе Bitrefill, опустошившем кошельки" впервые появилась на CryptoPotato.