Bitrefill, een door cryptocurrency aangedreven cadeaukaartplatform, zei dat een recente cyberaanval op zijn systemen overeenkomsten vertoont met operaties die eerder werden toegeschreven aan de Lazarus Group, een aan Noord-Korea gelieerd hackcollectief.
Het bedrijf maakte bekend dat het incident begin maart begon nadat het ongebruikelijke activiteiten ontdekte die het platform beïnvloedden, waaronder onregelmatig aankoopgedrag en ongeautoriseerde toegang tot delen van de infrastructuur. De diensten werden tijdelijk offline gehaald terwijl het bedrijf het probleem onderzocht en werkte aan het indammen van de inbraak.
Volgens het bedrijf kwam de aanval van de laptop van een gecompromitteerde werknemer, waardoor aanvallers legacy-inloggegevens konden verkrijgen. Deze inloggegevens werden vervolgens gebruikt om toegang te krijgen tot interne systemen, waaronder een snapshot met productiegeheimen, voordat de toegang tot bredere infrastructuur zoals databases en cryptowallets werd geëscaleerd.
Bitrefill zei dat de aanvallers toegang hadden tot ongeveer 18.500 aankoopgegevens. De blootgestelde gegevens omvatten e-mailadressen, IP-adressen en betalingsgegevens van cryptocurrency. In ongeveer 1.000 gevallen werden ook klantnamen opgenomen. Het bedrijf merkte op dat hoewel de gegevens in versleutelde vorm werden opgeslagen, de aanvallers mogelijk de benodigde sleutels hebben verkregen om deze te ontsleutelen.
Het bedrijf verklaarde dat de saldi van gebruikers niet werden beïnvloed, hoewel sommige fondsen werden afgenomen uit operationele cryptowallets. Er werd eraan toegevoegd dat het primaire doel van de aanvallers financieel leek te zijn, waarbij ze cryptovaluta-activa en cadeaukaartvoorraad targetten in plaats van klantinformatie.
In zijn onderzoek identificeerde Bitrefill overlap met eerdere campagnes die gelinkt zijn aan de Lazarus Group en haar Bluenoroff-subgroep. Het bedrijf noemde overeenkomsten in tactieken, malware, infrastructuur en blockchaintransactiepatronen als onderdeel van de beoordeling, hoewel de toeschrijving gebaseerd is op waargenomen indicatoren in plaats van bevestigde identificatie.
Bitrefill zei dat de meeste diensten sindsdien zijn hersteld en dat het eventuele verliezen zal dekken met eigen kapitaal. Het bedrijf verklaarde ook dat het aanvullende beveiligingsmaatregelen invoert, waaronder strengere toegangscontroles, uitgebreide monitoring en verdere tests van zijn systemen.