Bitrefill ha pubblicato un rapporto dettagliato su una violazione della sicurezza avvenuta il 1° marzo, e ritiene che sia opera del gruppo di hacker nordcoreano noto come Lazarus Group.
Il gruppo Lazarus è stato anche responsabile del più grande furto singolo nella storia delle criptovalute, quando all'inizio dello scorso anno ha colpito Bybit, sottraendo oltre 1 miliardo di dollari.
L'azienda è stata trasparente sulle modalità dell'incidente, ma non ha rivelato l'importo esatto rubato. Bitrefill afferma che la sua rete è stata violata tramite il laptop compromesso di un dipendente, con conseguente svuotamento di diversi portafogli online.
Bitrefill ha nascosto di essere stato hackerato?
Bitrefill ha pubblicato un'analisi approfondita della violazione della sicurezza iniziata il 1° marzo. L'azienda ha formalmente attribuito l'attacco al gruppo di hacker nordcoreano noto come Lazarus Group o Bluenoroff, sulla base delle prove esaminate, quali il malware specifico utilizzato, il modus operandi degli aggressori, il tracciamento on-chain dei fondi rubati e il riutilizzo di specifici indirizzi IP e di posta elettronica precedentemente collegati ad operazioni nordcoreane.
L'incidente è iniziato quando il laptop di un dipendente è stato compromesso e utilizzato come punto di accesso iniziale dagli hacker per ottenere credenziali obsolete. Queste credenziali hanno consentito agli aggressori di accedere a un'istantanea dei sistemi aziendali contenente segreti di produzione.
Grazie a queste informazioni riservate, il Lazarus Group è riuscito ad estendere il proprio accesso all'intera infrastruttura di Bitrefill, raggiungendo infine parti del database aziendale e diversi portafogli di criptovalute online.
Il team di sicurezza di Bitrefill si è accorto della violazione per la prima volta a causa di "modelli di acquisto sospetti" che coinvolgevano i loro fornitori. Gli aggressori stavano sfruttando le scorte di carte regalo e le linee di approvvigionamento dell'azienda.
Contemporaneamente, l'azienda si è resa conto che i fondi venivano prelevati dai propri portafogli online e trasferiti in portafogli controllati dagli aggressori.
In risposta, Bitrefill ha immediatamente disattivato tutti i sistemi per contenere la minaccia, ma poiché la rete globale di e-commerce dell'azienda conta migliaia di prodotti e decine di fornitori, il processo di spegnimento e riavvio in sicurezza dell'infrastruttura ha richiesto oltre due settimane.
Quanto è stato rubato durante la violazione dei dati di Bitrefill?
L'indagine di Bitrefill ha rivelato che gli hacker non erano particolarmente interessati a rubare i dati dei clienti; del resto, non ne sarebbero stati in grado. L'azienda ha sottolineato che il suo modello di business è progettato per archiviare pochissime informazioni personali. Non richiede la documentazione obbligatoria "Know Your Customer" (KYC) per la maggior parte degli utenti e i dati forniti per le verifiche di livello superiore sono gestiti da un fornitore esterno e non erano archiviati sui sistemi violati.
Tuttavia, gli aggressori sono riusciti ad accedere a circa 18.500 registrazioni di acquisti. Queste registrazioni includevano indirizzi email dei clienti, indirizzi di pagamento in criptovaluta e metadati come gli indirizzi IP.
Circa 1.000 clienti di Bitrefill , che dovevano fornire i nomi di prodotti specifici, hanno visto i propri dati crittografati. Tuttavia, poiché gli hacker potrebbero aver avuto accesso alle chiavi di crittografia, Bitrefill considera tali dati potenzialmente compromessi e ha già inviato un'e-mail alle persone interessate.
Per quanto riguarda le perdite finanziarie, Bitrefill ha annunciato che si farà carico dell'impatto. Sebbene alcuni portafogli online siano stati svuotati, la società ha dichiarato di disporre di una solida base finanziaria e di essere redditizia da diversi anni. Tutti i saldi degli utenti rimangono al sicuro e non hanno subito conseguenze.
Bitrefill ha collaborato con diverse entità di sicurezza di alto profilo, tra cui Zeroshadow, SEAL Org e il team Recoveris, per mappare i movimenti dei fondi rubati sulla blockchain. Hanno inoltre fornito assistenza nella bonifica forense dei server dell'azienda.
Da allora, Bitrefill ha rafforzato i controlli di accesso interni per garantire che una singola violazione non possa portare a una violazione completa del sistema. L'azienda ha inoltre migliorato le proprie procedure di arresto per reagire più rapidamente alle richieste sospette al database.
L'azienda ha inoltre dichiarato di continuare a condurre test di penetrazione approfonditi con esperti esterni per individuare eventuali vulnerabilità residue. Attualmente, quasi tutti i servizi, inclusi pagamenti, rifornimento scorte e funzionalità dell'account, sono tornati alla normalità.
Se desideri un approccio più tranquillo al mondo delle criptovalute DeFi , senza la solita frenesia, inizia con questo video gratuito.