Bitrefill reporta explotación al estilo Lazarus que drenó fondos y expuso datos de usuarios
A pesar de los contratiempos, Bitrefill se recupera fortaleciendo su seguridad y restaurando la confianza del cliente.
Conclusiones Clave
- Bitrefill experimentó un ciberataque vinculado al Grupo Lazarus, resultando en el drenaje de fondos y la exposición de algunos datos de usuarios.
- La compañía ha implementado medidas de seguridad mejoradas y ha restaurado casi todas las funciones a niveles previos al incidente.
Compartir este artículo
Bitrefill, la plataforma establecida de cripto a tarjetas de regalo, fue víctima de un ciberataque sofisticado a principios de este mes que drenó fondos de la empresa y expuso datos de algunos clientes.
El equipo reveló el incidente en un artículo el martes, indicando que tiene grandes similitudes con operaciones vinculadas al Grupo Lazarus, el colectivo de cibercrimen norcoreano notorio que se cree responsable del robo de miles de millones de dólares en criptoactivos.
Según Bitrefill, la brecha ocurrió el 1 de marzo, cuando los atacantes accedieron a un dispositivo de un empleado y extrajeron credenciales de inicio de sesión antiguas.
Desde allí, utilizaron ese punto de apoyo para extraer secretos de producción y adentrarse más en la infraestructura de Bitrefill, escalando privilegios hasta alcanzar partes de su base de datos y algunas carteras de cripto.
Bitrefill primero detectó la intrusión tras notar una actividad de compra inusual de los proveedores.
La empresa descubrió que su inventario de tarjetas de regalo y cadenas de suministro habían sido explotadas junto con el drenaje de las carteras. Tras identificar la brecha, Bitrefill tomó todos los sistemas fuera de línea como parte de su protocolo de contención.
«Ser golpeado por un ataque sofisticado es terrible (mucho). Llevamos más de 10 años en el negocio, y es la primera vez que nos golpean tan fuerte. Pero sobrevivimos», indicó la empresa en su informe de incidente.
Alcance de la exposición de datos
La brecha afectó a unos 18,500 registros de compra, incluyendo direcciones de correo electrónico de clientes, direcciones de pago en cripto y metadatos como direcciones IP.
Aproximadamente 1,000 transacciones involucraron productos que requerían nombres de clientes. Aunque esa información estaba cifrada, podría haberse expuesto si los atacantes accedían a las claves de cifrado. Bitrefill ha notificado a los clientes afectados.
La empresa dijo que las tarjetas de regalo en manos de los clientes, los créditos de tienda y los saldos de cuentas no se vieron afectados. También señaló que no requiere controles obligatorios de conocimiento del cliente (KYC), y cualquier dato de KYC presentado para límites de compra más altos es manejado por un proveedor externo, no almacenado en sus sistemas.
Los investigadores encontraron múltiples indicios que vinculan el ataque al Grupo Lazarus y su filial Bluenoroff, incluyendo similitudes de malware, patrones de rastreo de blockchain y infraestructura de IP y correo electrónico reutilizada vinculada a brechas cripto anteriores.
Bitrefill dijo que trabajó con firmas de seguridad y la policía en respuesta al incidente.
Bitrefill planea cubrir las pérdidas financieras causadas por el ataque usando su capital operativo. La plataforma ha restaurado la mayoría de las funciones, incluyendo pagos, inventario y cuentas de clientes, con volúmenes de ventas que han regresado a niveles previos al incidente.
La empresa dijo que está fortaleciendo su postura de seguridad a través de pruebas de penetración adicionales, controles de acceso más estrictos, mejoras en el registro y monitoreo, y procedimientos de respuesta a incidentes actualizados, incluyendo protocolos de apagado automatizado.
