Bitrefill, una plataforma de tarjetas regalo impulsada por criptomonedas, afirmó que un reciente ciberataque a sus sistemas muestra similitudes con operaciones previamente atribuidas al Grupo Lazarus, un colectivo de hackers vinculado a Corea del Norte.
La empresa reveló que el incidente comenzó a principios de marzo tras detectar actividades inusuales que afectaban a su plataforma, incluyendo comportamientos de compra irregulares y acceso no autorizado a partes de su infraestructura. Los servicios se desconectaron temporalmente mientras la empresa investigaba el problema y trabajaba para contener la intrusión.
Según la empresa, el ataque se originó en el portátil de un empleado comprometido, lo que permitió a los atacantes obtener credenciales heredadas. Estas credenciales se usaron para acceder a sistemas internos, incluyendo una instantánea que contenía secretos de producción, antes de escalar el acceso a infraestructuras más amplias como bases de datos y monederos de criptomonedas.
Bitrefill dijo que los atacantes pudieron acceder a aproximadamente 18.500 registros de compras. Los datos expuestos incluían direcciones de correo electrónico, direcciones IP y detalles de pago en criptomonedas. En unos 1.000 casos, también se incluyeron nombres de clientes. La empresa señaló que, aunque los datos estaban almacenados en forma cifrada, los atacantes podrían haber obtenido las claves necesarias para descifrarlos.
La empresa afirmó que los saldos de los usuarios no se vieron afectados, aunque algunos fondos se retiraron de monederos operativos de criptomonedas. Añadió que el objetivo principal de los atacantes parecía ser financiero, dirigiéndose a activos de criptomonedas y inventario de tarjetas regalo en lugar de información de clientes.
En su investigación, Bitrefill identificó solapamientos con campañas previas vinculadas al Grupo Lazarus y su subgrupo Bluenoroff. La empresa citó similitudes en tácticas, malware, infraestructura y patrones de transacciones blockchain como parte de su evaluación, aunque la atribución se basa en indicadores observados más que en una identificación confirmada.
Bitrefill afirmó que la mayoría de los servicios han sido restablecidos desde entonces y que cubrirá cualquier pérdida utilizando su propio capital. La empresa también ha declarado que está implementando medidas de seguridad adicionales, incluyendo controles de acceso más estrictos, ampliación de la monitorización y más pruebas de sus sistemas.