Bitrefill раскрывает кибератаку и указывает на северокорейскую группу Lazarus

Платформа крипто-электронной коммерции Bitrefill заявила, что в начале этого месяца стала жертвой кибератаки, в результате которой были украдены средства и ограничена экспозиция данных клиентов, при этом признаки указывали на возможное участие группы Lazarus, связанной с Северной Кореей.

Проникновение, которое началось 1 марта, произошло с компьютера сотрудника, скомпрометированного злоумышленниками, согласно отчету о инциденте компании.

Злоумышленники смогли извлечь устаревшие учетные данные, связанные с производственными системами, что позволило им повысить уровень доступа к инфраструктуре Bitrefill, включая сегменты внутренней базы данных и некоторые горячие криптовалютные кошельки.

Bitrefill сообщил, что злоумышленники опустошили нераскрытую сумму средств со своих горячих кошельков, а также использовали системы учета подарочных карт для совершения подозрительных покупок у поставщиков. Компания не указала общие финансовые потери, но заявила, что компенсирует убытки за счет операционного капитала.

Первое обнаружение взлома произошло из-за необычных покупательских паттернов и аномалий в деятельности поставщиков.

В ответ компания временно отключила свои системы для локализации угрозы по всему миру. Позже услуги, включая платежи и доступ к аккаунтам, были восстановлены до нормального уровня.

В рамках атаки было получено около 18 500 записей о покупках. В открытых данных содержатся адреса электронной почты, криптовалютные адреса для платежей и метаданные, такие как IP-адреса.

Около 1 000 записей содержали зашифрованные имена клиентов, которые считаются потенциально скомпрометированными из-за возможности доступа злоумышленников к ключам шифрования. Bitrefill сообщил, что уведомил пострадавших пользователей напрямую.

Несмотря на взлом, компания подчеркнула, что хранит минимальное количество личных данных и не требует обязательной процедуры подтверждения личности (KYC) для большинства транзакций. Любая информация, связанная с KYC, обрабатывается внешними провайдерами и не хранится в системах Bitrefill. Компания добавила, что нет доказательств того, что была украдена вся база данных или что данные клиентов были основной целью.

«Исходя из нашего расследования и логов, у нас нет оснований полагать, что целью было получение данных клиентов», — заявил представитель компании, отметив, что злоумышленники, по всей видимости, проводили ограниченные запросы, связанные с поиском ценных активов, таких как криптовалютные запасы и запасы подарочных карт.

Группа Lazarus из Северной Кореи участвовала

Bitrefill привела несколько признаков, связывающих атаку с группой Lazarus, включая сходство в вредоносных программах, повторное использование инфраструктуры, такой как IP-адреса и электронные почты, а также шаблоны транзакций в блокчейне.

Эта группа, часто ассоциируемая с Северной Кореей, связана с одними из крупнейших краж криптовалют за последние годы через свою специализированную подгруппу Bluenoroff.

Кибербезопасные компании, такие как zeroShadow, SEAL911 и RecoverisTeam, помогали в реагировании и расследовании, совместно с аналитиками блокчейна и правоохранительными органами. Компания заявила, что внедряет дополнительные меры безопасности, включая расширенные системы мониторинга и внутренний контроль, чтобы предотвратить подобные инциденты.

Атака подчеркивает продолжающуюся озабоченность по поводу киберугроз, спонсируемых государством, в секторе цифровых активов.

По данным аналитической компании Chainalysis, группы, связанные с Северной Кореей, в 2025 году были ответственны за более чем 2 миллиарда долларов краж криптовалют, что составляет значительную долю общего объема незаконной деятельности в этой сфере.

Bitrefill заявил, что после инцидента деятельность стабилизировалась и выразил уверенность в своем восстановлении, отметив, что активность клиентов и объемы продаж вернулись к обычным уровням.