Bitrefill gab bekannt, dass es am 1. März Opfer eines Cyberangriffs geworden sei, der mit nordkoreanischen Hackergruppen in Verbindung stehe; dies habe zur Entziehung von Unternehmensgeldern und zu einer begrenzten Offenlegung von Nutzerdaten geführt.
Bitrefill geht auf einen mit Nordkorea in Verbindung stehenden Angriff ein und bestätigt einen begrenzten Datenverlust
GESCHRIEBEN VON
TEILEN
Bitrefill: Die Sicherheitsverletzung stand wahrscheinlich im Zusammenhang mit der Lazarus-Gruppe
Die Plattform für Krypto-Zahlungen und Geschenkkarten gab den Vorfall in einem detaillierten Bericht bekannt und verwies dabei auf Ähnlichkeiten mit früheren Operationen, die den nordkoreanischen Gruppen Lazarus und Bluenoroff zugeschrieben werden, basierend auf Malware, der Wiederverwendung von Infrastruktur und On-Chain-Tracing.
Laut der Erklärung von Bitrefill vom Dienstag begann der Vorfall mit einem kompromittierten Mitarbeiter-Laptop, wodurch Angreifer an alte Zugangsdaten gelangen konnten, die mit Produktionssystemen verknüpft waren. Dieser Zugriff ermöglichte eine Eskalation in die breitere Infrastruktur, einschließlich Teilen der Unternehmensdatenbank und bestimmter Kryptowährungs-Hot-Wallets.
Das Unternehmen gab an, den Einbruch entdeckt zu haben, nachdem es verdächtige Kaufmuster und Unregelmäßigkeiten bei den Aktivitäten der Lieferanten festgestellt hatte. Ermittler bestätigten später, dass die Angreifer die Bestandsverwaltungssysteme für Geschenkkarten ausnutzten und gleichzeitig Gelder aus den Hot Wallets auf Adressen unter ihrer Kontrolle abfließen ließen. Bitrefill nahm seine Systeme unmittelbar nach der Bestätigung des Vorfalls offline und bezeichnete die Abschaltung als notwendigen Schritt, um den Angriff auf seine globalen E-Commerce-Aktivitäten einzudämmen, die sich über mehrere Lieferanten, Zahlungswege und Regionen erstrecken.
Das Unternehmen gab an, dass auf etwa 18.500 Kaufdatensätze zugegriffen wurde, darunter begrenzte Nutzerdaten wie E-Mail-Adressen, Krypto-Zahlungsadressen und IP-Metadaten. Etwa 1.000 Datensätze, die Kundennamen enthielten – verschlüsselt in der Datenbank –, werden aufgrund eines möglichen Zugriffs auf Verschlüsselungsschlüssel als potenziell offengelegt behandelt, wobei die betroffenen Nutzer benachrichtigt wurden.
Bitrefill betonte, dass es nur minimale personenbezogene Daten speichert und keine obligatorische Know-Your-Customer-Überprüfung verlangt, wobei es darauf hinwies, dass alle Identitätsdaten von externen Anbietern verarbeitet und nicht intern gespeichert werden. Das Unternehmen fügte hinzu, dass es keine Hinweise darauf gibt, dass die gesamte Datenbank abgezogen wurde.
Das Unternehmen gab an, mit Cybersicherheitsfirmen, On-Chain-Analysten und Strafverfolgungsbehörden zusammenzuarbeiten, während es gleichzeitig die internen Kontrollen verstärkt, die Überwachungssysteme ausbaut und zusätzliche Sicherheitsaudits durchführt. Bitrefill teilte mit, dass der Betrieb weitgehend wieder normal läuft und dass Verluste aus dem Betriebskapital gedeckt werden.
FAQ 🔎
- Was ist beim Bitrefill-Hack passiert? Bitrefill wurde am 1. März Opfer eines Cyberangriffs, der zum Abfluss von Geldern und zu einem eingeschränkten Zugriff auf die Kaufdaten der Kunden führte.
- Wurden Kundendaten gestohlen? Es wurde auf etwa 18.500 Datensätze zugegriffen, darunter E-Mails und Krypto-Adressen, aber eine vollständige Exfiltration der Datenbank wurde nicht bestätigt.
- Wer steht vermutlich hinter dem Angriff? Bitrefill gab an, dass Hinweise auf Verbindungen zu den nordkoreanischen Hackergruppen Lazarus oder Bluenoroff hindeuten.
- Was sollten Nutzer jetzt tun? Das Unternehmen rät dazu, auf verdächtige Nachrichten zu achten, sagt jedoch, dass derzeit keine sofortigen Maßnahmen erforderlich sind.
