Bitrefill, een platform voor het kopen van cadeaubonnen met cryptocurrency, heeft bekendgemaakt dat de cyberaanval die het begin maart trof waarschijnlijk werd uitgevoerd door Noord-Koreaanse hackers van de Lazarus-groep, specifiek de Bluenoroff-tak. Tijdens het onderzoek werden indicatoren gevonden die overeenkomen met eerdere aanvallen van deze groep, zoals gebruikte tactieken, malware, IP-adressen en e-mailadressen.

Bitrefill is een middelgroot e-commerceplatform dat gebruikers in staat stelt cadeaubonnen te kopen voor winkels in 150 landen, waarbij betalingen met cryptovaluta worden geaccepteerd. Op 1 maart meldde het bedrijf technische problemen met de toegang tot de website en app. Een dag later maakte Bitrefill bekend dat er een beveiligingsincident was vastgesteld, waarna alle diensten offline werden gehaald. Hoewel gebruikersbalansen niet werden aangetast, duurt het herstel van alle diensten nog voort.

De inbreuk werd ontdekt nadat verdachte aankooppatronen bij leveranciers, misbruik van cadeaubonvoorraden en het leeghalen van enkele "hot" wallets werden opgemerkt. Het onderzoek wees uit dat de aanval begon via een gecompromitteerde laptop van een medewerker. De aanvallers stalen verouderde credentials en gebruikten deze om toegang te krijgen tot een snapshot met productiesleutels, waarna ze hun toegang uitbreidden naar de bredere infrastructuur van Bitrefill, inclusief delen van de database en enkele cryptowallets.

Ongeveer 18.500 aankooprecords met klant-e-mailadressen, IP-adressen en cryptobetalingsadressen kwamen bloot te liggen. Bij 1.000 aankopen werden ook klantnamen gelekt. Hoewel deze gegevens versleuteld zijn opgeslagen, waarschuwt Bitrefill dat de aanvallers mogelijk de decryptiesleutels hebben bemachtigd. Volgens het bedrijf was dit de ernstigste cyberaanval in tien jaar bestaan, maar de schade bleef beperkt en wordt gedekt uit het eigen kapitaal.

Bitrefill benadrukt dat de aanvallers vooral uit waren op cryptocurrency en cadeaubonvoorraden, niet op klantgegevens. De Lazarus-groep, en dan met name de Bluenoroff-tak (ook bekend als APT38), is sinds minstens 2014 actief en richt zich vooral op financiële instellingen en recentelijk op de cryptosector met als doel het stelen van cryptovaluta.

Het bedrijf breidt momenteel zijn beveiligingsonderzoeken en penetratietests uit, verscherpt toegangscontroles, verbetert logging en monitoring en verfijnt geautomatiseerde afschakelingsmechanismen. De meeste diensten zijn inmiddels weer operationeel en klanten hoeven geen actie te ondernemen, behalve extra voorzichtig te zijn met inkomende communicatie.