1
Kryptowährungszahlungen und Geschenkkartenplattform Bitrefill hat die Schuld gegeben die mit Nordkorea verbundenen Hackergruppe Lazarus für einen Cyberangriff am 1. März 2026, der Teile ihrer Infrastruktur und Kryptowährungs-Wallets kompromittierte.
Die Angreifer erhielten Zugriff auf Produktionsschlüssel, transferierten Gelder von Hot Wallets und legten 18.500 Kaufdatensätze offen, die E-Mails, Zahlungsadressen und IP-Adressen enthalten.
Ungefähr 1.000 Datensätze enthielten verschlüsselte Benutzernamen. Betroffene Nutzer wurden benachrichtigt. Der Betrieb wurde wieder aufgenommen, wobei das Unternehmen ankündigte, Verluste aus dem Betriebskapital zu decken. Der Vorfall unterstreicht die Bedeutung von Wachsamkeit in Bezug auf Krypto- und On-Chain-Sicherheit.
Die Vorgehensweise umfasste Malware, On-Chain-Verfolgung sowie die Wiederverwendung von IP- und E-Mail-Adressen und ähnelte früheren Angriffen, die der nordkoreanischen Lazarus-Gruppe, auch bekannt als Bluenoroff, zugeschrieben werden, teilte das Unternehmen in einem ausführlichen Bericht auf X mit.
Die Lazarus Group hat zuvor Krypto-Projekte wie das Ronin Network, Harmony’s Horizon Bridge, WazirX und Atomic Wallet ins Visier genommen.
Wie sich der Angriff entfaltete
Alles begann mit einem kompromittierten Laptop eines Mitarbeiters, der veraltete Zugangsdaten preisgab und es Angreifern ermöglichte, auf die umfangreichere Infrastruktur von Bitrefill zuzugreifen, einschließlich Teilen der Datenbank und der Kryptowährungs-Wallets.
Die Sicherheitsverletzung wurde schnell erkannt, als das Unternehmen ungewöhnliche Kaufmuster bei bestimmten Lieferanten feststellte, was darauf hindeutete, dass Angreifer das Geschenkekarteninventar und die Lieferketten ausnutzten. Das Unternehmen stellte außerdem fest, dass Angreifer einige Hot Wallets leerzogen und Gelder auf ihre eigenen Adressen transferierten, woraufhin das System offline genommen wurde, um den Schaden einzudämmen.
„Bitrefill betreibt ein globales E-Commerce-Geschäft mit Dutzenden von Lieferanten, Tausenden von Produkten und mehreren Zahlungsmethoden in vielen Ländern. Diese gesamten Systeme sicher herunterzufahren und wieder online zu bringen, ist nicht trivial“, erklärte das Unternehmen in einer Mitteilung.
Seit dem Vorfall arbeitet Bitrefill mit Sicherheitsforschern, Incident-Response-Teams, On-Chain-Analysten und Strafverfolgungsbehörden zusammen, um die Sicherheitsverletzung zu untersuchen.
Auswirkungen auf Kundendaten
Hacker haben auf eine kleine Anzahl von Kaufdatensätzen zugegriffen, etwa 18.500, die enthalten
Bitrefill erklärte, dass keine Hinweise darauf vorliegen, dass Kundendaten das Hauptziel waren. Die Protokolle zeigen, dass Angreifer eine begrenzte Anzahl von Abfragen durchführten, die auf Kryptowährungsbestände und Geschenkarteninventory abzielten, anstatt die gesamte Datenbank zu extrahieren.
Die Plattform speichert nur minimale persönliche Daten und erfordert keine verpflichtende KYC. Auf eine kleine Teilmenge von Kaufaufzeichnungen, ungefähr 18.500, wurde zugegriffen, die Informationen wie E-Mail-Adressen, Krypto-Zahlungsadressen und Metadaten einschließlich IP-Adressen enthielten. Etwa 1.000 Aufzeichnungen enthielten verschlüsselte Namen für bestimmte Produkte; das Unternehmen behandelt diese Daten als möglicherweise kompromittiert und hat betroffene Kunden direkt per E-Mail benachrichtigt.
Derzeit ist Bitrefill der Ansicht, dass Kunden keine weiteren Maßnahmen ergreifen müssen, empfiehlt jedoch Vorsicht bei unerwarteten Mitteilungen im Zusammenhang mit Bitrefill oder Kryptowährungen.
Schritte zur Stärkung der Sicherheit
Als Reaktion auf den Vorfall erklärte Bitrefill, dass das Unternehmen seine Cybersicherheitspraktiken bereits verstärkt hat und daran arbeitet, Lehren aus dem Zwischenfall zu ziehen.
Das Unternehmen skizzierte mehrere Maßnahmen, darunter die Durchführung umfassender Penetrationstests mit externen Experten, die Verschärfung interner Zugangskontrollen, die Verbesserung der Protokollierung und Überwachung zur schnelleren Bedrohungserkennung sowie die Verfeinerung der Vorfallreaktionsverfahren und automatisierten Abschaltprotokolle.
Ausblick
Bitrefill räumte ein, dass dies der erste größere Angriff in mehr als einem Jahrzehnt Betrieb war, betonte jedoch, dass das Unternehmen weiterhin gut finanziert und rentabel ist und in der Lage ist, operative Verluste zu verkraften. Die meisten Systeme, einschließlich Zahlungsabwicklung, Lagerbestände und Konten, sind wieder online, wobei die Verkaufsvolumen auf das normale Niveau zurückkehren.
„Von einem ausgeklügelten Angriff getroffen zu werden, ist sehr ärgerlich“, sagte das Unternehmen. „Aber wir haben überlebt. Wir werden weiterhin unser Bestes geben, um das Vertrauen unserer Kunden zu verdienen.“
