En Resumen
- Bitrefill reveló que el hackeo del 1 de marzo comprometió 18.500 registros con emails, direcciones cripto y metadatos.
- La firma identificó indicadores similares a ataques previos atribuidos a los grupos norcoreanos Lazarus y Bluenoroff.
- Bitrefill afirmó que las operaciones volvieron a la normalidad y que las pérdidas serán absorbidas con capital operativo.
Bitrefill, una plataforma que permite a los usuarios intercambiar criptomonedas por tarjetas de regalo y crédito telefónico, reveló el martes que fue víctima de un ciberataque el 1 de marzo.
Según la firma, todo comenzó con el hackeo de la laptop de un empleado, y luego se expandió hacia una infraestructura más amplia después de que los atacantes exfiltraron una credencial heredada vinculada a una instantánea que contenía secretos de producción.
En un informe del incidente publicado en X, la empresa señaló que los atacantes pasaron del acceso inicial a partes de su base de datos y ciertas billeteras de criptomonedas, al tiempo que explotaron el inventario de tarjetas de regalo y las líneas de compra de proveedores. Bitrefill afirmó que detectó la brecha al identificar patrones sospechosos en las compras de proveedores. Una vez confirmado, puso todos los sistemas fuera de línea como parte del proceso de contención.
El 1 de marzo, la empresa había revelado previamente que estaba enfrentando un "problema técnico" y luego un "problema de seguridad", momento en el que suspendió todos sus servicios. El martes fue la primera vez que Bitrefill ofreció detalles completos sobre el ataque y los posibles responsables.
La empresa indicó que su investigación encontró múltiples indicadores que describió como similares a ataques previos en la industria atribuidos a los grupos de hackers patrocinados por el Estado norcoreano Lazarus y Bluenoroff, como patrones de malware, rastreo on-chain e infraestructura reutilizada. Bitrefill agregó que ha estado trabajando con equipos de respuesta a incidentes, analistas on-chain y autoridades mientras continúa la investigación.
En cuanto al impacto en los clientes, Bitrefill señaló que los registros no muestran evidencia de exfiltración completa de la base de datos, aunque sí se accedió a un subconjunto de registros. La empresa indicó que aproximadamente 18.500 registros de compra se vieron afectados, incluyendo campos limitados como direcciones de correo electrónico, direcciones de pago en criptomonedas y metadatos como direcciones IP.
Para aproximadamente 1.000 compras que requerían el nombre del cliente, Bitrefill afirmó que esos campos estaban cifrados, pero los está tratando como potencialmente accedidos, ya que los atacantes podrían haber obtenido las claves correspondientes. La empresa señaló que los usuarios de ese subconjunto fueron notificados directamente por correo electrónico.
Bitrefill indicó que no exige KYC obligatorio y que almacena la información de verificación con un proveedor externo, en lugar de en copias de seguridad internas. Con base en los hallazgos actuales, la empresa señaló que no cree que los clientes deban tomar medidas específicas, aunque recomendó precaución ante comunicaciones inesperadas relacionadas con Bitrefill o con criptomonedas.
La empresa agregó que la mayoría de las operaciones han vuelto a la normalidad, incluyendo pagos, inventario y cuentas, y que las pérdidas serán absorbidas con capital operativo. Bitrefill también señaló que continúa con revisiones de seguridad externas y pruebas de penetración, reforzando los controles de acceso interno y mejorando el registro, monitoreo y la automatización de respuesta a incidentes.
Las autoridades han vinculado a los grupos de hackers norcoreanos con numerosos robos destacados en la industria cripto, como el hackeo de $1.400 millones al exchange Bybit el año pasado, y el hackeo de $622 millones a la red de juegos Ronin vinculada al juego cripto Axie Infinity en 2022. El año pasado, hackers vinculados a Corea del Norte sustrajeron más de $2.000 millones en criptomonedas, según un informe de Chainalysis.