Bitrefill Cyberangreb
Bitrefill, en platform der giver brugerne mulighed for at bytte kryptovaluta til gavekort og telefonservicekreditter, afslørede tirsdag, at de blev målrettet i et cyberangreb den 1. marts. Ifølge virksomheden begyndte angrebet med en kompromitteret medarbejderlaptop, hvorefter det spredte sig til bredere dele af infrastrukturen, efter at angribere havde eksfiltreret en ældre legitimationsoplysning knyttet til et snapshot, der indeholdt produktionshemmeligheder.
Angrebets Forløb
I en hændelsesrapport offentliggjort på X sagde virksomheden, at angriberne bevægede sig fra den indledende adgang til dele af deres database og visse kryptovaluta-tegnebøger, mens de også udnyttede gavekortlageret og leverandørkøbslinjerne. Bitrefill opdagede bruddet efter at have observeret mistænkelige mønstre i leverandørkøb. Da bruddet blev bekræftet, tog de alle systemer offline som en del af inddæmningen.
Virksomheden havde tidligere den 1. marts nævnt, at de håndterede et “teknisk problem” og senere et “sikkerhedsproblem”, hvorefter de lukkede alle tjenester. Tirsdag var første gang, at Bitrefill gav fulde detaljer om angrebet og de potentielle instigatorer.
Undersøgelse og Indikatorer
Virksomheden sagde, at deres undersøgelse fandt flere indikatorer, som de beskrev som ligesom tidligere angreb i branchen fra de nordkoreanske statsstøttede hackinggrupper Lazarus og Bluenoroff, herunder malwaremønstre, on-chain sporing og genbrugte infrastrukturer. Bitrefill oplyste, at de arbejder sammen med hændelsesrespondenter, on-chain analytikere og retshåndhævelse, mens undersøgelsen fortsætter.
Kundepåvirkning
Om kundepåvirkning sagde Bitrefill, at logfiler viser ingen beviser for fuld databaseeksfiltrering, men et subset af optegnelser blev tilgået. Virksomheden oplyste, at cirka 18.500 købsoptegnelser blev påvirket, herunder begrænsede felter som e-mailadresser, kryptobetalingsadresser og metadata, inklusive IP-adresser.
For cirka 1.000 køb, der krævede kundens navne, sagde Bitrefill, at disse felter var krypteret, men de betragter dem som potentielt tilgået, da angriberne muligvis har fået adgang til relevante nøgler. Virksomheden sagde, at brugere i dette subset blev underrettet direkte via e-mail.
Fremtidige Forholdsregler
Bitrefill oplyste, at de ikke kræver obligatorisk KYC og opbevarer verifikationsoplysninger hos en ekstern udbyder i stedet for i interne sikkerhedskopier. Baseret på de nuværende fund mener virksomheden ikke, at kunderne skal tage specifik handling, men de rådgiver om forsigtighed vedrørende uventede Bitrefill- eller kryptorelaterede kommunikationer.
Virksomheden sagde, at de fleste operationer nu er tilbage til normal, herunder betalinger, lager og konti, og at tab vil blive dækket gennem driftskapital. Bitrefill tilføjede også, at de fortsætter med eksterne sikkerhedsevalueringer og penetrationstest, strammer interne adgangskontroller og opgraderer logning, overvågning og automatisering af hændelsesrespons.
Baggrund om Nordkoreanske Hackinggrupper
Nordkoreanske hackinggrupper er blevet knyttet af myndighederne til mange fremtrædende hændelser i kryptovalutaindustrien, herunder sidste års $1,4 milliarder hack af Bybit-børsen og 2022’s $622 millioner hack af Ronin gaming-netværket, som er knyttet til kryptospillet Axie Infinity. Sidste år stjal hackere knyttet til Nordkorea over $2 milliarder værd af kryptovaluta, ifølge en rapport fra Chainalysis.
