Nordkoreanische Hacker unter Verdacht bei Bitrefill-Sicherheitsverletzung, die Wallets geleert hat

Bitrefill gab bekannt, dass das Unternehmen am 1. März Ziel eines Cyberangriffs wurde, der zum Diebstahl von Kryptowährungen führte, und teilte mit, dass die Untersuchung mehrere Indikatoren gefunden hat, die den Vorfall mit Taktiken in Verbindung bringen, die von der mit Nordkorea assoziierten Lazarus/Bluenoroff-Gruppe verwendet werden.

Das Unternehmen erklärte, dass Ähnlichkeiten in den Methoden der Angreifer, Malware, On-Chain-Rückverfolgungsmustern und der Wiederverwendung von IP- und E-Mail-Adressen mit früheren Operationen übereinstimmen, die der Gruppe zugeschrieben werden.

Bitrefill-Cyberangriff

Laut Unternehmensangaben ging die Sicherheitsverletzung von einem kompromittierten Laptop eines Mitarbeiters aus, von dem eine veraltete Zugangsberechtigung extrahiert wurde. Diese Berechtigung ermöglichte den Zugriff auf einen Snapshot mit Produktionsgeheimnissen, die die Angreifer dann nutzten, um ihren Zugang auf die Systeme von Bitrefill auszuweiten. Dies ermöglichte ihnen den Zugriff auf Teile der Datenbank und bestimmte Kryptowährungs-Wallets.

In seinem jüngsten Tweet erklärte Bitrefill, dass der Vorfall erstmals erkannt wurde, nachdem ungewöhnliche Kaufmuster bei einigen Lieferanten festgestellt wurden, die darauf hindeuteten, dass das Geschenkkarten-Inventar und die Lieferströme missbraucht wurden. Gleichzeitig wurde beobachtet, dass einige Hot Wallets geleert wurden und Gelder an von den Angreifern kontrollierte Adressen gesendet wurden. Nachdem die Sicherheitsverletzung bestätigt wurde, hat das Unternehmen alle Systeme heruntergefahren, um die Situation einzudämmen.

Nach dem Vorfall bestätigte Bitrefill, dass es mit externen Cybersicherheitsexperten, Incident-Response-Teams, Blockchain-Analysten und Strafverfolgungsbehörden zusammenarbeitet.

Das Unternehmen erklärte, dass es keine Hinweise darauf gibt, dass Kundendaten das Hauptziel des Angriffs waren. Laut seinen Protokollen führten die Angreifer eine begrenzte Anzahl von Datenbankabfragen durch, die mit Sondierungsaktivitäten übereinstimmen, um zu ermitteln, was extrahiert werden könnte. Dies umfasste Kryptowährungen und Geschenkkarten-Inventar. Bitrefill fügte hinzu, dass es minimale personenbezogene Daten speichert und keine obligatorische KYC-Verifizierung erfordert, wobei alle Verifizierungsinformationen von einem externen Anbieter gespeichert werden.

Es bestätigte jedoch, dass etwa 18.500 Kaufdatensätze abgerufen wurden, darunter E-Mail-Adressen, Kryptowährungs-Zahlungsadressen und Metadaten wie IP-Adressen. In etwa 1.000 Fällen, in denen Kunden Namen für bestimmte Produkte angegeben hatten, waren die Informationen verschlüsselt, aber das Unternehmen behandelt sie aufgrund einer möglichen Offenlegung von Verschlüsselungsschlüsseln als potenziell abgerufen. Diese Benutzer wurden benachrichtigt.

Bitrefill erklärte, dass es derzeit nicht davon ausgeht, dass Kunden spezifische Maßnahmen ergreifen müssen, riet jedoch zu Wachsamkeit bei unerwarteten Kommunikationen im Zusammenhang mit Bitrefill oder Kryptowährungen.

Das Unternehmen fügte hinzu, dass es seine Sicherheitsmaßnahmen verstärkt hat, einschließlich der Durchführung weiterer externer Cybersicherheitsüberprüfungen und Penetrationstests, der Verschärfung interner Zugriffskontrollen, der Verbesserung von Überwachungs- und Protokollierungssystemen sowie der Optimierung von Incident-Response-Verfahren. Es erklärte, dass die finanziellen Verluste aus dem Betriebskapital gedeckt werden und dass die meisten Dienste, einschließlich Zahlungen und Inventar, wiederhergestellt wurden.

Lazarus-Chaos

Obwohl viele Krypto-Plattformen ihre Sicherheitsrahmen in den letzten Jahren verstärkt haben, umgehen Bedrohungsakteure weiterhin Schutzmaßnahmen. Die Lazarus-Gruppe bleibt der hartnäckigste und gefährlichste Gegner des Sektors und ist verantwortlich für den größten Krypto-Hack aller Zeiten, nachdem sie im Februar 2025 1,4 Milliarden US-Dollar von Bybit gestohlen hat.

Der Blockchain-Ermittler ZachXBT hatte zuvor erklärt, dass Sicherheitsverletzungen bei Plattformen wie Bybit, DMM Bitcoin und WazirX zeigten, dass gestohlene Gelder mit Leichtigkeit gewaschen wurden. Der On-Chain-Ermittler hatte hinzugefügt, dass die Geldwäschegruppen „scheinbar den Kampf gewonnen haben" gegen die Strafverfolgung.

Der Beitrag North Korea-Linked Hackers Suspected in Bitrefill Breach That Drained Wallets erschien zuerst auf CryptoPotato.