Cyberangriff auf Bitrefill
Bitrefill, eine Plattform, die es Nutzern ermöglicht, Kryptowährungen gegen Geschenkkarten und Telefonservice-Guthaben einzutauschen, gab am Dienstag bekannt, dass sie am 1. März Ziel eines Cyberangriffs wurde. Laut dem Unternehmen begann der Angriff mit einem kompromittierten Laptop eines Mitarbeiters und weitete sich dann auf die breitere Infrastruktur aus, nachdem die Angreifer ein veraltetes Set von Zugangsdaten exfiltriert hatten, das mit einem Snapshot verbunden war, der Produktionsgeheimnisse enthielt.
In einem Vorfallbericht, der auf X veröffentlicht wurde, erklärte das Unternehmen, dass die Angreifer von dem anfänglichen Zugriff in Teile seiner Datenbank und bestimmte Kryptowährungs-Wallets vordrangen, während sie auch das Geschenkkarteninventar und die Einkaufsleitungen der Lieferanten ausnutzten.
Entdeckung und Reaktion
Bitrefill gab an, den Vorfall entdeckt zu haben, nachdem verdächtige Einkaufsgewohnheiten von Lieferanten aufgefallen waren. Nach der Bestätigung nahm das Unternehmen alle Systeme offline, um den Vorfall einzudämmen. Zuvor hatte Bitrefill am 1. März bekannt gegeben, dass es mit einem „technischen Problem“ und später mit einem „Sicherheitsproblem“ zu kämpfen hatte, woraufhin alle Dienste eingestellt wurden.
Am Dienstag war das erste Mal, dass Bitrefill vollständige Details zu dem Angriff und den möglichen Urhebern bereitstellte. Das Unternehmen erklärte, dass seine Untersuchung mehrere Indikatoren gefunden habe, die es als ähnlich zu früheren Angriffen in der Branche von den nordkoreanischen, staatlich geförderten Hackergruppen Lazarus und Bluenoroff beschrieb, einschließlich Malware-Mustern, On-Chain-Tracking und wiederverwendeter Infrastruktur.
Kundenimpact und Sicherheitsmaßnahmen
Zum Kundenimpact sagte Bitrefill, dass Protokolle keine Hinweise auf eine vollständige Exfiltration der Datenbank zeigen, aber ein Teil der Datensätze wurde zugegriffen. Das Unternehmen gab an, dass etwa 18.500 Kaufdatensätze betroffen waren, einschließlich begrenzter Felder wie E-Mail-Adressen, Krypto-Zahlungsadressen und Metadaten wie IP-Adressen.
Für etwa 1.000 Käufe, die Kundennamen erforderten, erklärte Bitrefill, dass diese Felder verschlüsselt waren, aber als potenziell zugegriffen behandelt werden, da die Angreifer möglicherweise relevante Schlüssel erlangt haben. Die Nutzer in diesem Teilbereich wurden direkt per E-Mail benachrichtigt.
Bitrefill erklärte, dass es keine verpflichtende KYC (Know Your Customer) erfordert und Verifizierungsinformationen bei einem externen Anbieter speichert, anstatt in internen Backups. Basierend auf den aktuellen Erkenntnissen glaubt das Unternehmen nicht, dass Kunden spezifische Maßnahmen ergreifen müssen, rät jedoch zur Vorsicht bei unerwarteten Bitrefill- oder krypto-bezogenen Mitteilungen.
Aktuelle Situation und Ausblick
Das Unternehmen gab an, dass die meisten Operationen jetzt wieder normal laufen, einschließlich Zahlungen, Lagerbestände und Konten, und dass Verluste durch Betriebskapital aufgefangen werden. Bitrefill sagte auch, dass es weiterhin externe Sicherheitsüberprüfungen und Penetrationstests durchführt, interne Zugangskontrollen verschärft und Logging, Monitoring sowie die Automatisierung der Incident-Response verbessert.
Verbindung zu nordkoreanischen Hackergruppen
Nordkoreanische Hackergruppen wurden von den Behörden mit vielen prominenten Diebstählen in der Krypto-Industrie in Verbindung gebracht, einschließlich des Hacks der Bybit-Börse im Wert von 1,4 Milliarden Dollar im letzten Jahr und des Hacks des Ronin-Gaming-Netzwerks im Jahr 2022 im Wert von 622 Millionen Dollar, der mit dem Krypto-Spiel Axie Infinity verbunden ist. Laut einem Bericht von Chainalysis haben Hacker, die mit Nordkorea in Verbindung stehen, im letzten Jahr Krypto im Wert von über 2 Milliarden Dollar gestohlen.
