Bitrefill, eine kryptowährungsbetriebene Geschenkkartenplattform, teilte mit, dass ein kürzlicher Cyberangriff auf seine Systeme Ähnlichkeiten mit Operationen aufweise, die zuvor der Lazarus Group, einem mit Nordkorea verbundenen Hackerkollektiv, zugeschrieben wurden.
Das Unternehmen gab bekannt, dass der Vorfall Anfang März begann, nachdem ungewöhnliche Aktivitäten auf seiner Plattform festgestellt wurden, darunter unregelmäßiges Einkaufsverhalten und unbefugter Zugriff auf Teile seiner Infrastruktur. Die Dienste wurden vorübergehend außer Betrieb genommen, während das Unternehmen das Problem untersuchte und daran arbeitete, den Einbruch einzudämmen.
Laut dem Unternehmen stammte der Angriff von einem kompromittierten Laptop eines Mitarbeiters, der es Angreifern ermöglichte, auf alte Zugangsdaten zuzugreifen. Diese Zugangsdaten wurden dann verwendet, um auf interne Systeme zuzugreifen, einschließlich eines Schnappschusss mit Produktionsgeheimnissen, bevor der Zugriff auf eine breitere Infrastruktur wie Datenbanken und Kryptowährungs-Wallets eskaliert wurde.
Bitrefill sagte, die Angreifer konnten auf etwa 18.500 Kaufdaten zugreifen. Die offengelegten Daten umfassten E-Mail-Adressen, IP-Adressen und Zahlungsdetails für Kryptowährungen. In etwa 1.000 Fällen wurden auch Kundennamen aufgenommen. Das Unternehmen stellte fest, dass die Daten zwar verschlüsselt gespeichert wurden, die Angreifer jedoch möglicherweise die Schlüssel zur Entschlüsselung erhalten haben.
Das Unternehmen erklärte, dass die Nutzersalden nicht betroffen seien, obwohl einige Gelder aus operativen Kryptowährungs-Wallets entnommen wurden. Sie fügte hinzu, dass das Hauptziel der Angreifer offenbar finanziell sei, indem sie Kryptowährungsvermögen und Geschenkkartenbestände und nicht Kundendaten angreifen.
In seiner Untersuchung identifizierte Bitrefill Überschneidungen mit früheren Kampagnen, die mit der Lazarus Group und ihrer Bluenoroff-Untergruppe verbunden sind. Das Unternehmen nannte Ähnlichkeiten in Taktiken, Malware, Infrastruktur und Blockchain-Transaktionsmustern als Teil seiner Bewertung, wobei die Zuordnung jedoch auf beobachteten Indikatoren und nicht auf bestätigter Identifikation basiert.
Bitrefill erklärte, dass die meisten Dienstleistungen inzwischen wiederhergestellt wurden und etwaige Verluste mit eigenem Kapital decken werden. Das Unternehmen erklärte außerdem, dass es zusätzliche Sicherheitsmaßnahmen umsetzt, darunter strengere Zugangskontrollen, erweiterte Überwachung und weitere Tests seiner Systeme.