Bitrefill, uma plataforma de cartões-presente movida a criptomoedas, disse que um recente ataque cibernético aos seus sistemas mostra semelhanças com operações anteriormente atribuídas ao Lazarus Group, um coletivo de hackers ligado à Coreia do Norte.
A empresa revelou que o incidente começou no início de março após detectar atividades incomuns afetando sua plataforma, incluindo comportamento irregular de compra e acesso não autorizado a partes de sua infraestrutura. Os serviços foram temporariamente desativados enquanto a empresa investigava o problema e trabalhava para conter a invasão.
Segundo a empresa, o ataque teve origem no laptop comprometido de um funcionário, o que permitiu aos atacantes obter credenciais legadas. Essas credenciais eram então usadas para acessar sistemas internos, incluindo um snapshot contendo segredos de produção, antes de escalar o acesso a infraestruturas mais amplas, como bancos de dados e carteiras de criptomoedas.
Bitrefill disse que os atacantes conseguiram acessar aproximadamente 18.500 registros de compras. Os dados expostos incluíam endereços de e-mail, endereços IP e detalhes de pagamento em criptomoedas. Em cerca de 1.000 casos, os nomes dos clientes também foram incluídos. A empresa observou que, embora os dados estivessem armazenados em forma criptografada, os atacantes podem ter obtido as chaves necessárias para descriptografá-los.
A empresa afirmou que os saldos dos usuários não foram afetados, embora alguns fundos tenham sido retirados de carteiras operacionais de criptomoedas. Acrescentou que o objetivo principal dos atacantes parecia ser financeiro, mirando ativos de criptomoedas e estoque de cartões-presente, em vez de informações de clientes.
Em sua investigação, Bitrefill identificou sobreposições com campanhas anteriores ligadas ao Grupo Lazarus e seu subgrupo Bluenoroff. A empresa citou semelhanças em táticas, malwares, infraestrutura e padrões de transação em blockchain como parte de sua avaliação, embora a atribuição seja baseada em indicadores observados, e não em identificação confirmada.
Bitrefill disse que a maioria dos serviços foi restaurada desde então e que cobrirá quaisquer perdas usando seu próprio capital. A empresa também afirmou que está implementando medidas adicionais de segurança, incluindo controles de acesso mais rigorosos, monitoramento ampliado e testes adicionais de seus sistemas.