Группировку Lazarus заподозрили в атаке на сервис Bitrefill
1 марта криптовалютный интернет-магазин Bitrefill подверглась кибератаке. Команда проекта связала инцидент с северокорейской группировкой Lazarus Group (подразделение BlueNoroff).
March 1st incident report
— Bitrefill (@bitrefill) March 17, 2026
On March 1, 2026, Bitrefill was the target of a cyberattack. Based on indicators observed during the investigation - including the modus operandi, the malware used, on-chain tracing and reused IP + email addresses (!) - we find many similarities…
Представители платформы сообщили об атаке 17 марта. Эксперты обнаружили сходство с предыдущими взломами злоумышленников по используемому вредоносному ПО, методам работы, ончейн-следам и IP-адресам.
Вектор атаки
Взлом начался с компрометации ноутбука сотрудника. Хакеры похитили старые учетные данные, которые позволили добраться до «снимка» системы с производственными данными. Это дало мошенникам возможность повысить привилегии и получить доступ к инфраструктуре, включая базы данных и криптовалютные кошельки.
Команда безопасности заметила подозрительные операции с подарочными картами и вывод средств с горячих кошельков на адреса взломщиков. После обнаружения угрозы все системы отключили.
Утечка данных
Согласно расследованию, злоумышленники просмотрели около 18 500 записей о покупках. Утечка включает:
- адреса электронной почты;
- криптовалютные адреса;
- метаданные, включая IP-адреса.
Примерно в 1000 случаев клиенты указывали свои имена для покупки специфических товаров. Эта информация хранилась в зашифрованном виде, но хакеры могли получить ключи. Bitrefill рассматривает эти данные как скомпрометированные и уже уведомил пострадавших пользователей.
Данные верификации не затронуты, так как они хранятся у внешнего провайдера и не имеют резервных копий в системе Bitrefill.
Компания заявила, что покроет финансовые потери за счет собственного операционного капитала. В настоящее время работа сервиса полностью восстановлена.
К расследованию привлекли правоохранительные органы и фирмы по кибербезопасности, включая Security Alliance и zeroShadow. Bitrefill усилил меры защиты, внедрил дополнительные инструменты мониторинга и пересмотрел процедуры реагирования на инциденты.
Напомним, в феврале потери крипторынка от взломов упали до минимума за 11 месяцев.