Bitrefill, una piattaforma di gift card alimentata da criptovalute, ha dichiarato che un recente attacco informatico ai suoi sistemi mostra somiglianze con operazioni precedentemente attribuite al Lazarus Group, un collettivo di hacker legato alla Corea del Nord.
L’azienda ha rivelato che l’incidente è iniziato all’inizio di marzo dopo aver rilevato attività insolite che influenzavano la sua piattaforma, tra cui comportamenti di acquisto irregolari e accesso non autorizzato a parti della sua infrastruttura. I servizi sono stati temporaneamente interrotti mentre l’azienda indagava sul problema e lavorava per contenere l’intrusione.
Secondo l’azienda, l’attacco è avuto origine dal laptop compromesso di un dipendente, che ha permesso agli aggressori di ottenere credenziali legacy. Queste credenziali venivano poi utilizzate per accedere ai sistemi interni, incluso uno snapshot contenente segreti di produzione, prima di escalare l’accesso a infrastrutture più ampie come database e wallet di criptovalute.
Bitrefill ha detto che gli aggressori sono riusciti ad accedere a circa 18.500 registri di acquisti. I dati esposti includevano indirizzi email, indirizzi IP e dettagli di pagamento in criptovalute. In circa 1.000 casi, sono stati inclusi anche i nomi dei clienti. L’azienda ha osservato che, sebbene i dati siano stati memorizzati in forma criptata, gli attaccanti potrebbero aver ottenuto le chiavi necessarie per decifrarli.
L’azienda ha dichiarato che i saldi degli utenti non sono stati influenzati, anche se alcuni fondi sono stati prelevati da portafogli di criptovalute operativi. Ha aggiunto che l’obiettivo principale degli attaccanti sembrava essere finanziario, prendendo di mira asset di criptovalute e inventario di carte regalo piuttosto che informazioni sui clienti.
Nella sua indagine, Bitrefill ha identificato sovrapposizioni con campagne precedenti legate al Gruppo Lazarus e al suo sottogruppo Bluenoroff. L’azienda ha citato somiglianze in tattiche, malware, infrastrutture e modelli di transazione blockchain come parte della sua valutazione, anche se l’attribuzione si basa su indicatori osservati piuttosto che su identificazioni confermate.
Bitrefill ha detto che la maggior parte dei servizi è stata successivamente ripristinata e che coprirà eventuali perdite utilizzando il proprio capitale. L’azienda ha inoltre dichiarato che sta implementando ulteriori misure di sicurezza, tra cui controlli di accesso più rigorosi, monitoraggio ampliato e ulteriori test dei suoi sistemi.