Кибератака на Bitrefill
Bitrefill, платформа, позволяющая пользователям обменивать криптовалюту на подарочные карты и кредиты на телефонные услуги, сообщила во вторник о кибератаке, произошедшей 1 марта. По данным компании, инцидент начался с скомпрометированного ноутбука одного из сотрудников и затем распространился на более широкую инфраструктуру после того, как злоумышленники получили доступ к устаревшим учетным данным, связанным с моментальным снимком, содержащим производственные секреты.
Детали инцидента
В отчете о происшествии, опубликованном в X, компания сообщила, что злоумышленники переместились с первоначального доступа к частям своей базы данных и определенным криптовалютным кошелькам, а также использовали инвентарь подарочных карт и линии закупок поставщиков. Bitrefill обнаружила утечку после того, как заметила подозрительные паттерны закупок у поставщиков. После подтверждения инцидента компания отключила все системы в рамках мер по сдерживанию.
Ранее, 1 марта, Bitrefill сообщила о «технической проблеме», а затем о «проблеме безопасности», после чего отключила все услуги.
Расследование и последствия
Во вторник компания впервые предоставила полные детали атаки и потенциальных инициаторов. В ходе расследования были выявлены несколько индикаторов, которые, по мнению компании, схожи с предыдущими атаками в отрасли, осуществленными спонсируемыми государством северокорейскими хакерскими группами Lazarus и Bluenoroff. Это включает паттерны вредоносного ПО, отслеживание в блокчейне и повторно используемую инфраструктуру.
Bitrefill заявила, что работает с реагирующими на инциденты, аналитиками блокчейна и правоохранительными органами в ходе продолжающегося расследования. Что касается воздействия на клиентов, компания сообщила, что журналы не показывают доказательства полной экстракции базы данных, однако был получен доступ к подмножеству записей. Примерно 18 500 записей о покупках были затронуты, включая ограниченные поля, такие как адреса электронной почты, адреса крипто-платежей и метаданные, включая IP-адреса.
Для около 1 000 покупок, требующих имен клиентов, Bitrefill сообщила, что эти поля были зашифрованы, но рассматривает их как потенциально доступные, поскольку злоумышленники могли получить соответствующие ключи. Компания уведомила пользователей из этого подмножества напрямую по электронной почте.
Рекомендации для клиентов
Bitrefill отметила, что не требует обязательной KYC и хранит информацию для верификации у внешнего провайдера, а не в внутренних резервных копиях. Основываясь на текущих выводах, компания не считает, что клиентам необходимо предпринимать какие-либо конкретные действия, однако советует проявлять осторожность в отношении неожиданных коммуникаций, связанных с Bitrefill или криптовалютой.
Возвращение к нормальной работе
Компания сообщила, что большинство операций теперь вернулись в норму, включая платежи, запасы и счета, и что убытки будут покрыты за счет операционного капитала. Bitrefill также продолжает проводить внешние проверки безопасности и тестирование на проникновение, ужесточая внутренние контрольные меры доступа и обновляя автоматизацию журналирования, мониторинга и реагирования на инциденты.
Связь с северокорейскими хакерами
Северокорейские хакерские группы были связаны властями с многими известными кражами в криптоиндустрии, включая хак биржи Bybit на сумму 1,4 миллиарда долларов в прошлом году и хак игровой сети Ronin на сумму 622 миллиона долларов в 2022 году, связанный с криптоигрой Axie Infinity. В прошлом году хакеры, связанные с Северной Кореей, украли криптовалюту на сумму более 2 миллиардов долларов, согласно отчету Chainalysis.
