Bitrefill, una piattaforma di e-commerce di criptovalute con sede in Svezia, ha rivelato martedì di essere stata vittima di un attacco informatico il 1° marzo 2026, perpetrato da hacker presumibilmente nordcoreani legati al famigerato gruppo Lazarus.
L'azienda ha pubblicato un rapporto post-mortem che descrive in dettaglio la violazione, la quale ha comportato la perdita di fondi e l'esposizione di una parte dei dati degli utenti.
Sono stati resi pubblici 18.500 registri di acquisto.
In una dichiarazione diffusa sulla piattaforma social X, Bitrefill ha spiegato che l'attacco presentava diversi indicatori coerenti con precedenti incursioni attribuite ai gruppi nordcoreani Lazarus e Bluenoroff.
L'attacco è stato avviato tramite un laptop di un dipendente compromesso, dal quale sono state estratte credenziali obsolete. Secondo quanto riportato, queste credenziali hanno permesso agli aggressori di accedere a dati sensibili, tra cui uno snapshot contenente segreti di produzione cruciali, ottenendo in definitiva un accesso più ampio all'interno dell'infrastruttura, del database e dei wallet di Bitrefill.
L'attacco informatico è stato rilevato per la prima volta quando il team ha notato "schemi di acquisto sospetti", che indicavano un uso improprio delle scorte di carte regalo. Di conseguenza, alcuni portafogli digitali dell'azienda sono stati compromessi e i fondi sono stati reindirizzati verso portafogli controllati dagli aggressori.
Per quanto riguarda i dati dei clienti, Bitrefill ha sottolineato che la sua indagine non ha indicato che le informazioni dei clienti fossero l'obiettivo principale della violazione.
L'azienda ha affermato che non vi sono prove che suggeriscano che gli aggressori abbiano avuto accesso all'intero database; piuttosto, hanno eseguito un numero limitato di query, probabilmente nel tentativo di sondare il sistema alla ricerca di dati preziosi, tra cui inventari di criptovalute e carte regalo.
Tuttavia, l'azienda ha confermato che la violazione ha comportato l'accesso a circa 18.500 record di acquisto, che contenevano informazioni limitate sui clienti, come indirizzi email, indirizzi di pagamento in criptovaluta e metadati, inclusi gli indirizzi IP.
Per circa 1.000 acquisti, i clienti dovevano fornire i nomi di prodotti specifici e, sebbene queste informazioni fossero crittografate, gli aggressori potrebbero aver avuto accesso alle chiavi di crittografia.
Bitrefill rafforza la sicurezza informatica dopo l'attacco.
In risposta all'attacco informatico, Bitrefill sta rafforzando le proprie misure di sicurezza informatica . Ciò include revisioni approfondite e test di penetrazione condotti da diversi esperti esterni, e l'implementazione delle loro raccomandazioni.
La piattaforma sta inoltre rafforzando i controlli di accesso interni, migliorando la registrazione e il monitoraggio per un rilevamento più rapido e perfezionando i protocolli di risposta agli incidenti, unitamente alle strategie di arresto automatizzato.
Inoltre, Bitrefill ha collaborato con i migliori esperti di sicurezza del settore, team di risposta agli incidenti, analisti on-chain e forze dell'ordine per comprendere meglio la violazione e implementare misure che ne prevengano il ripetersi in futuro.
Nella sua dichiarazione, l'azienda ha chiarito che le operazioni stanno tornando alla normalità. L'elaborazione dei pagamenti, la disponibilità delle scorte e le funzionalità degli account si stanno stabilizzando. Il team di Bitrefill ha concluso:
Bitrefill è stata progettata per limitare l'impatto qualora si verificasse un evento simile. Bitrefill dispone di solide risorse finanziarie, è redditizia da diversi anni e assorbirà queste perdite con il proprio capitale operativo… Continueremo a fare del nostro meglio per continuare a meritare la vostra fiducia.
Immagine principale tratta da OpenArt, grafico da TradingView.com