Incident de Cyberattaque chez Bitrefill
Bitrefill, une plateforme permettant aux utilisateurs d’échanger des cryptomonnaies contre des cartes-cadeaux et des crédits de service téléphonique, a annoncé mardi avoir été ciblée par une cyberattaque le 1er mars. Selon l’entreprise, l’incident a débuté par le compromis d’un ordinateur portable d’un employé, avant de s’étendre à une infrastructure plus large après que les attaquants ont exfiltré un ancien identifiant lié à un instantané contenant des secrets de production.
Dans un rapport d’incident publié sur X, la société a indiqué que les attaquants avaient réussi à passer d’un accès initial à certaines parties de sa base de données et à des portefeuilles de cryptomonnaies, tout en exploitant l’inventaire des cartes-cadeaux et les lignes d’achat des fournisseurs.
Bitrefill a détecté la violation après avoir remarqué des modèles d’achat suspects chez ses fournisseurs. Une fois la violation confirmée, l’entreprise a mis tous ses systèmes hors ligne dans le cadre de sa stratégie de confinement.
Détails de l’Attaque
Auparavant, le 1er mars, Bitrefill avait annoncé faire face à un « problème technique », puis à un « problème de sécurité », moment auquel elle a suspendu tous ses services. Ce mardi, c’était la première fois que Bitrefill fournissait des détails complets sur l’attaque et les potentiels instigateurs. La société a déclaré que son enquête avait révélé plusieurs indicateurs similaires à des attaques antérieures dans l’industrie, menées par les groupes de piratage soutenus par l’État nord-coréen, tels que Lazarus et Bluenoroff.
Ces indicateurs incluent des modèles de logiciels malveillants, un traçage on-chain et une infrastructure réutilisée.
Bitrefill a précisé qu’elle travaillait avec des intervenants en cas d’incident, des analystes on-chain et les forces de l’ordre pendant que l’enquête se poursuit. Concernant l’impact sur les clients, Bitrefill a indiqué que les journaux ne montrent aucune preuve d’exfiltration complète de la base de données, mais qu’un sous-ensemble de dossiers a été accédé.
Impact sur les Clients
Environ 18 500 dossiers d’achat ont été affectés, incluant des informations limitées telles que les adresses e-mail, les adresses de paiement en cryptomonnaie et des métadonnées comprenant des adresses IP. Pour environ 1 000 achats nécessitant des noms de clients, Bitrefill a précisé que ces champs étaient cryptés, mais les considère comme potentiellement accessibles, car les attaquants pourraient avoir obtenu des clés pertinentes.
La société a informé directement les utilisateurs concernés par e-mail. Bitrefill a également souligné qu’elle ne nécessite pas de KYC obligatoire et stocke les informations de vérification avec un fournisseur externe, plutôt que dans des sauvegardes internes.
Sur la base des résultats actuels, la société ne pense pas que les clients doivent prendre des mesures spécifiques, tout en conseillant la prudence face aux communications inattendues liées à Bitrefill ou à la cryptomonnaie.
Retour à la Normalité
La société a annoncé que la plupart de ses opérations sont désormais revenues à la normale, y compris les paiements, les stocks et les comptes, et que les pertes seront absorbées par le capital opérationnel. Bitrefill a également déclaré qu’elle poursuivait des examens de sécurité externes et des tests de pénétration, renforçant les contrôles d’accès internes et améliorant l’automatisation de la journalisation, de la surveillance et de la réponse aux incidents.
Contexte des Groupes de Piratage
Les groupes de piratage nord-coréens ont été liés par les autorités à de nombreux vols notables dans l’industrie de la cryptomonnaie, y compris le piratage de l’échange Bybit pour 1,4 milliard de dollars l’année dernière, ainsi que le piratage de 622 millions de dollars du réseau de jeux Ronin, lié au jeu crypto Axie Infinity, en 2022. Selon un rapport de Chainalysis, l’année dernière, des pirates liés à la Corée du Nord ont volé plus de 2 milliards de dollars de cryptomonnaies.
