block-chain24.com
Платформа платежей в криптовалюте и подарочных карт Bitrefill возложила ответственность за кибератаку 1 марта 2026 года на связанную с Северной Кореей хакерскую группу Lazarus. В результате нападения были скомпрометированы части инфраструктуры платформы и криптовалютные кошельки.
Злоумышленники получили доступ к рабочим ключам, перевели средства с горячих кошельков и раскрыли 18 500 записей о покупках, содержащих адреса электронной почты, платежные адреса и IP‑адреса.
Примерно 1 000 записей включали зашифрованные имена пользователей. Пострадавшие пользователи были уведомлены. Работа платформы возобновлена, компания объявила о возмещении убытков из операционного капитала. Инцидент подчеркивает важность бдительности в вопросах безопасности криптовалют и операций в блокчейне.
Способ проведения атаки включал использование вредоносного ПО, отслеживание операций в блокчейне, а также повторное использование IP‑адресов и адресов электронной почты. Она была схожа с предыдущими атаками, приписываемыми северокорейской группе Lazarus (также известной как Bluenoroff), — об этом компания сообщила в подробном отчете на платформе X.
Группа Lazarus ранее совершала атаки на криптовалютные проекты, включая Ronin Network, Horizon Bridge от Harmony, WazirX и Atomic Wallet.
Как развивалась атака
Все началось с зараженного ноутбука сотрудника: это раскрыло устаревшие учетные данные и позволило злоумышленникам получить доступ к более широкой инфраструктуре Bitrefill, в том числе к частям базы данных и криптовалютным кошелькам.
Утечка быстро стала очевидной: компания заметила необычные схемы покупок у некоторых поставщиков. Это сигнализировало о том, что злоумышленники использовали запасы подарочных карт и цепочки поставок платформы. Компания также отметила, что хакеры опустошали некоторые горячие кошельки и переводили средства на собственные адреса. После этого система была отключена для локализации ущерба.
«Bitrefill ведет глобальный бизнес в сфере электронной коммерции: у нас десятки поставщиков, тысячи товаров и несколько способов оплаты в разных странах. Безопасно отключить все эти компоненты и снова запустить их — задача непростая», — говорится в заявлении компании.
После инцидента Bitrefill сотрудничает с исследователями в области безопасности, группами реагирования на инциденты, аналитиками операций в блокчейне и правоохранительными органами для расследования утечки.
Воздействие на данные клиентов
Хакеры получили доступ к небольшому массиву записей о покупках — примерно к 18 500.
Bitrefill заявила, что нет доказательств того, что данные клиентов были основной целью атаки. Логи компании показывают: злоумышленники выполнили ограниченное число запросов, направленных на проверку криптовалютных активов и запасов подарочных карт, а не на извлечение всей базы данных.
Платформа хранит минимальный объем персональных данных и не требует обязательного прохождения процедуры идентификации клиентов (KYC). Был скомпрометирован небольшой массив записей о покупках (примерно 18 500), содержащих такие сведения, как адреса электронной почты, криптовалютные платежные адреса и метаданные, включая IP‑адреса. Около 1 000 записей содержали зашифрованные имена для конкретных продуктов. Компания считает эти данные потенциально скомпрометированными и напрямую уведомила затронутых клиентов по электронной почте.
На текущий момент Bitrefill не считает, что клиентам нужно предпринимать какие‑либо дополнительные действия, но рекомендует проявлять осторожность в отношении подозрительных сообщений, связанных с Bitrefill или криптовалютами.
Меры по усилению безопасности
В ответ на утечку Bitrefill сообщила, что уже усилила меры кибербезопасности и извлекает уроки из произошедшего.
Компания обозначила ряд мер, в том числе проведение комплексных тестов на проникновение с привлечением внешних экспертов, ужесточение контроля внутреннего доступа, улучшение системы ведения журналов и мониторинга для более быстрого выявления угроз, а также доработку процедур реагирования на инциденты и протоколов автоматического отключения систем.
Взгляд в будущее
Bitrefill признала, что это была первая крупная атака за более чем десять лет работы, но подчеркнула: компания остается финансово устойчивой и прибыльной, способной покрыть операционные убытки. Большинство систем, включая платежи, запасы и учетные записи, снова работают — объемы продаж возвращаются к нормальным показателям.
«Попасть под удар изощренной атаки крайне неприятно, — говорится в сообщении компании. — Но мы выстояли. Мы продолжим делать все возможное, чтобы оправдывать доверие наших клиентов».