Bitrefill Cyberangrep
Bitrefill, en plattform som lar brukere bytte kryptovaluta mot gavekort og telefonkreditt, avslørte tirsdag at de ble målrettet i et cyberangrep den 1. mars. Ifølge selskapet begynte angrepet med en kompromittert ansatt-laptop, og deretter spredte det seg til bredere infrastruktur etter at angriperne eksfiltrerte en eldre legitimasjon knyttet til et snapshot som inneholdt produksjonshemmeligheter.
Hendelsesrapport og Oppdagelse
I en hendelsesrapport publisert på X, opplyste selskapet at angriperne fikk tilgang til deler av databasen og visse kryptovaluta-lommebøker, samtidig som de utnyttet gavekortlager og leverandørkjøpslinjer. Bitrefill oppdaget bruddet etter å ha sett mistenkelige kjøpsmønstre fra leverandører. Når bruddet ble bekreftet, tok de alle systemer offline som en del av inneslutningen.
Detaljer om Angrepet
Selskapet hadde tidligere, den 1. mars, informert om at de håndterte et «teknisk problem», og senere et «sikkerhetsproblem», på hvilket tidspunkt de stengte ned alle tjenester. Tirsdag var første gang Bitrefill ga fullstendige detaljer om angrepet og potensielle instigatorer. Selskapet opplyste at deres etterforskning avdekket flere indikatorer som de beskrev som liknende tidligere angrep i bransjen fra de nordkoreanske statssponserte hackinggruppene Lazarus og Bluenoroff, inkludert malware-mønstre, on-chain sporing og gjenbrukt infrastruktur.
Kundepåvirkning
Når det gjelder kundepåvirkning, sa Bitrefill at logger viser ingen bevis for full databaseeksfiltrasjon, men et delsett av poster ble aksessert. Selskapet opplyste at omtrent 18 500 kjøpsposter ble berørt, inkludert begrensede felt som e-postadresser, kryptobetalingadresser og metadata, inkludert IP-adresser. For omtrent 1 000 kjøp som krevde kundenavn, sa Bitrefill at disse feltene var kryptert, men de behandler dem som potensielt aksessert fordi angriperne kan ha fått tak i relevante nøkler.
Forebygging og Tiltak
Selskapet informerte om at brukere i det berørte delsettet ble varslet direkte via e-post. Bitrefill opplyste at de ikke krever obligatorisk KYC og lagrer verifiseringsinformasjon hos en ekstern leverandør, i stedet for i interne sikkerhetskopier. Basert på nåværende funn, sa selskapet at de ikke tror kundene trenger å ta spesifikke tiltak, men de råder til forsiktighet rundt uventet kommunikasjon relatert til Bitrefill eller kryptovaluta.
Gjenoppretting og Sikkerhet
Selskapet informerte om at de fleste operasjoner nå er tilbake til normalen, inkludert betalinger, lager og kontoer, og at tap vil bli absorbert gjennom driftskapital. Bitrefill sa også at de fortsetter med eksterne sikkerhetsvurderinger og penetrasjonstesting, strammer inn interne tilgangskontroller, og oppgraderer logging, overvåking og automatisering av hendelsesrespons.
Bakgrunn om Nordkoreanske Hackinggrupper
Nordkoreanske hackinggrupper har blitt knyttet av myndighetene til mange fremtredende tyverier i kryptovalutaindustrien, inkludert fjorårets $1,4 milliarder hack av Bybit-børsen, og 2022s $622 millioner hack av Ronin spillnettverket knyttet til kryptospillet Axie Infinity. I fjor stjal hackere knyttet til Nord-Korea over $2 milliarder verdt av kryptovaluta, ifølge en rapport fra Chainalysis.
