Угруповання Lazarus запідозрили в атаці на сервіс Bitrefill

1 березня криптовалютний інтернет-магазин Bitrefill зазнав кібератаки. Команда проєкту пов’язала інцидент з північнокорейським угрупованням Lazarus Group (підрозділ BlueNoroff).

Представники платформи повідомили про атаку 17 березня. Експерти виявили схожість із попередніми зламами за використаним шкідливим ПЗ, методами роботи, ончейн-«слідами» та IP-адресами.

Вектор атаки

Злам почався з компрометації ноутбука співробітника. Хакери викрали старі облікові дані, що дозволило дістатися до «знімка» системи з виробничими даними. Це дало змогу підвищити привілеї та отримати доступ до інфраструктури, включно з базами даних і криптовалютними гаманцями.

Команда безпеки помітила підозрілі операції з подарунковими картками та виведення коштів із гарячих криптовалютних гаманців на адреси зловмисників. Після виявлення загрози всі системи відключили.

Витік даних

За результатами розслідування, зловмисники переглянули близько 18 500 записів про покупки. Витік охоплює:

• адреси електронної пошти;
• криптовалютні адреси;
• метадані, включно з IP-адресами.

Приблизно у 1000 випадків клієнти вказували свої імена для купівлі специфічних товарів. Ця інформація зберігалася в зашифрованому вигляді, утім хакери могли отримати ключі. Bitrefill розглядає ці дані як скомпрометовані та вже повідомив постраждалих користувачів.

Дані верифікації не постраждали, оскільки зберігаються у зовнішнього провайдера й не мають резервних копій у системі Bitrefill.

Компанія заявила, що покриє фінансові втрати за рахунок власного операційного капіталу. Наразі роботу сервісу повністю відновлено.

До розслідування залучили правоохоронні органи та фірми з кібербезпеки, включно з Security Alliance і zeroShadow. Bitrefill посилив заходи захисту, запровадив додаткові інструменти моніторингу та переглянув процедури реагування на інциденти.

Нагадаємо, у лютому втрати крипторинку від зламів впали до мінімуму за 11 місяців.