Des pirates informatiques liés à la Corée du Nord suspectés dans la violation de Bitrefill qui a vidé des portefeuilles

Bitrefill a révélé avoir été la cible d'une cyberattaque le 1er mars, qui a entraîné le vol de fonds en crypto-monnaies, et a déclaré que son enquête a révélé plusieurs indicateurs reliant l'incident aux tactiques utilisées par le groupe Lazarus/Bluenoroff associé à la RPDC.

L'entreprise a déclaré que les similitudes dans les méthodes des attaquants, les logiciels malveillants, les modèles de traçage on-chain et la réutilisation d'adresses IP et e-mail sont cohérentes avec les opérations précédentes attribuées au groupe.

Cyberattaque sur Bitrefill

Selon l'entreprise, la violation provient de l'ordinateur portable compromis d'un employé, où un identifiant hérité a été extrait. Cet identifiant a permis l'accès à un instantané contenant des secrets de production, que les attaquants ont ensuite utilisés pour étendre leur accès aux systèmes de Bitrefill. Cela leur a permis d'atteindre des parties de la base de données et certains portefeuilles de crypto-monnaies.

Dans son dernier tweet, Bitrefill a déclaré avoir d'abord identifié l'incident après avoir détecté des schémas d'achat inhabituels impliquant certains fournisseurs, ce qui indiquait que son inventaire de cartes-cadeaux et ses flux d'approvisionnement étaient détournés. En même temps, elle a observé que certains portefeuilles chauds étaient vidés et que les fonds étaient envoyés vers des adresses contrôlées par les attaquants. Une fois la violation confirmée, l'entreprise a arrêté tous les systèmes pour contenir la situation.

Suite à l'incident, Bitrefill a confirmé qu'elle travaillait avec des experts externes en cybersécurité, des équipes de réponse aux incidents, des analystes blockchain et les forces de l'ordre.

L'entreprise a déclaré qu'il n'y a aucune indication que les données clients étaient l'objectif principal de l'attaque. Selon ses journaux, les attaquants ont exécuté un nombre limité de requêtes de base de données cohérentes avec une activité de sondage pour identifier ce qui pouvait être extrait. Cela incluait les crypto-monnaies et l'inventaire de cartes-cadeaux. Bitrefill a ajouté qu'elle stocke un minimum de données personnelles et n'exige pas de KYC obligatoire, toute information de vérification étant détenue par un fournisseur externe.

Cependant, elle a confirmé qu'environ 18 500 enregistrements d'achat ont été consultés, y compris des adresses e-mail, des adresses de paiement en crypto-monnaies et des métadonnées telles que les adresses IP. Dans environ 1 000 cas où les clients avaient fourni des noms pour des produits spécifiques, les informations étaient cryptées, mais l'entreprise les traite comme potentiellement consultées en raison d'une éventuelle exposition des clés de cryptage. Ces utilisateurs ont été informés.

Bitrefill a déclaré qu'elle ne pense pas actuellement que les clients doivent prendre des mesures spécifiques, mais a conseillé la vigilance concernant toute communication inattendue liée à Bitrefill ou aux crypto-monnaies.

L'entreprise a ajouté qu'elle a renforcé ses mesures de sécurité, notamment en effectuant des revues de la sécurité cybersécurité externes supplémentaires et des tests d'intrusion, en resserrant les contrôles d'accès internes, en améliorant les systèmes de surveillance et de journalisation, et en affinant les procédures de réponse aux incidents. Elle a déclaré que les pertes financières seront couvertes par son capital opérationnel et que la plupart des services, y compris les paiements et l'inventaire, ont été rétablis.

Chaos causé par Lazarus

Même si de nombreuses plateformes crypto ont renforcé leurs cadres de sécurité ces dernières années, les acteurs malveillants continuent de contourner les protections. Le groupe Lazarus reste l'adversaire le plus persistant et dangereux du secteur, responsable du plus grand piratage crypto jamais enregistré après avoir volé 1,4 milliard de dollars à Bybit en février 2025.

L'enquêteur blockchain ZachXBT avait précédemment déclaré que les violations impliquant des plateformes telles que Bybit, DMM Bitcoin et WazirX ont vu les fonds volés blanchis avec facilité. L'enquêteur on-chain avait ajouté que les groupes de blanchiment ont « apparemment remporté la bataille » contre l'application de la loi.

L'article North Korea-Linked Hackers Suspected in Bitrefill Breach That Drained Wallets est apparu en premier sur CryptoPotato.