Bitrefill, une plateforme de cartes-cadeaux alimentée par des cryptomonnaies, a déclaré qu’une récente cyberattaque contre ses systèmes présente des similitudes avec des opérations précédemment attribuées au Lazarus Group, un collectif de hackers lié à la Corée du Nord.
L’entreprise a révélé que l’incident avait commencé début mars après avoir détecté des activités inhabituelles affectant sa plateforme, notamment des comportements d’achat irréguliers et un accès non autorisé à certaines parties de son infrastructure. Les services ont été temporairement mis hors ligne pendant que l’entreprise enquêtait sur le problème et travaillait à contenir l’intrusion.
Selon l’entreprise, l’attaque a procédé à l’ordinateur portable d’un employé compromis, ce qui a permis aux attaquants d’obtenir des identifiants hérités. Ces identifiants ont ensuite été utilisés pour accéder à des systèmes internes, y compris un instantané contenant des secrets de production, avant d’augmenter l’accès à des infrastructures plus larges telles que les bases de données et les portefeuilles de cryptomonnaies.
Bitrefill a indiqué que les attaquants ont pu accéder à environ 18 500 dossiers d’achats. Les données exposées comprenaient des adresses e-mail, des adresses IP et des informations de paiement en cryptomonnaie. Dans environ 1 000 cas, les noms des clients étaient également inclus. L’entreprise a noté que, bien que les données aient été stockées sous forme chiffrée, les attaquants auraient pu obtenir les clés nécessaires pour les déchiffrer.
La société a indiqué que les soldes des utilisateurs n’étaient pas affectés, bien que certains fonds aient été prélevés dans des portefeuilles de cryptomonnaies opérationnels. Il a ajouté que l’objectif principal des attaquants semblait être financier, ciblant les actifs en cryptomonnaies et l’inventaire des cartes cadeaux plutôt que les informations clients.
Dans son enquête, Bitrefill a identifié des chevauchements avec des campagnes précédentes liées au groupe Lazarus et à son sous-groupe Bluenoroff. L’entreprise a cité des similarités dans les tactiques, les malwares, l’infrastructure et les schémas de transactions blockchain dans son évaluation, bien que l’attribution soit basée sur des indicateurs observés plutôt que sur une identification confirmée.
Bitrefill a indiqué que la plupart des services ont depuis été rétablis et qu’ils couvriraient les pertes avec son propre capital. L’entreprise a également déclaré mettre en place des mesures de sécurité supplémentaires, notamment des contrôles d’accès renforcés, une surveillance accrue et des tests supplémentaires de ses systèmes.