Incidente de Ciberataque en Bitrefill
Bitrefill, una plataforma que permite a los usuarios intercambiar criptomonedas por tarjetas de regalo y crédito para servicios telefónicos, reveló el martes que fue objeto de un ciberataque el 1 de marzo. Según la empresa, el incidente comenzó con la vulneración de una laptop de un empleado, lo que permitió a los atacantes expandir su acceso a una infraestructura más amplia tras exfiltrar una credencial heredada vinculada a una instantánea que contenía secretos de producción.
Detalles del Ataque
En un informe del incidente publicado en X, la compañía indicó que los atacantes lograron acceder a partes de su base de datos y a ciertas billeteras de criptomonedas, además de explotar el inventario de tarjetas de regalo y las líneas de compra de proveedores. Bitrefill detectó la violación después de notar patrones de compra sospechosos de proveedores.
«Una vez confirmado el ataque, desconectó todos los sistemas como parte de su estrategia de contención.»
La compañía había informado previamente el 1 de marzo que estaba lidiando con un «problema técnico» y más tarde con un «problema de seguridad», momento en el cual desactivó todos sus servicios. El martes fue la primera vez que Bitrefill proporcionó detalles completos sobre el ataque y los posibles responsables.
Investigación y Posibles Responsables
La empresa indicó que su investigación encontró múltiples indicadores que describió como similares a ataques anteriores en la industria perpetrados por grupos de hackers patrocinados por el estado norcoreano, como Lazarus y Bluenoroff, incluyendo patrones de malware, trazado en cadena y reutilización de infraestructura. Bitrefill ha estado trabajando con respondedores de incidentes, analistas en cadena y fuerzas del orden mientras la investigación continúa.
Impacto en los Clientes
En cuanto al impacto en los clientes, la compañía afirmó que los registros no muestran evidencia de una exfiltración completa de la base de datos, aunque un subconjunto de registros fue accedido. Aproximadamente 18,500 registros de compra se vieron afectados, incluyendo campos limitados como direcciones de correo electrónico, direcciones de pago en criptomonedas y metadatos que incluyen direcciones IP.
Para alrededor de 1,000 compras que requerían nombres de clientes, Bitrefill indicó que esos campos estaban cifrados, pero los está tratando como potencialmente comprometidos, ya que los atacantes podrían haber obtenido claves relevantes. La compañía notificó directamente a los usuarios afectados por correo electrónico.
Medidas de Seguridad y Recomendaciones
Bitrefill no requiere KYC obligatorio y almacena la información de verificación con un proveedor externo, en lugar de en copias de seguridad internas. Con base en los hallazgos actuales, la compañía no cree que los clientes necesiten tomar acciones específicas, aunque aconseja precaución ante comunicaciones inesperadas relacionadas con Bitrefill o criptomonedas.
La mayoría de las operaciones ya han vuelto a la normalidad, incluidos pagos, inventario y cuentas, y las pérdidas serán absorbidas a través del capital operativo. Bitrefill también está llevando a cabo revisiones de seguridad externas y pruebas de penetración, endureciendo los controles de acceso internos y mejorando la automatización de registro, monitoreo y respuesta a incidentes.
Contexto sobre Hackers Norcoreanos
Los grupos de hackers norcoreanos han sido vinculados por las autoridades a numerosos robos prominentes en la industria de las criptomonedas, incluido el hackeo de $1.4 mil millones de Bybit el año pasado y el hackeo de $622 millones de la red de juegos Ronin, vinculada al juego de criptomonedas Axie Infinity, en 2022. Según un informe de Chainalysis, el año pasado, hackers vinculados a Corea del Norte robaron más de $2 mil millones en criptomonedas.
