A loja de gift cards que opera com criptomoedas, Bitrefill, revelou que o ataque sofrido no início do mês provavelmente foi conduzido por hackers norte-coreanos do grupo Bluenoroff.
Durante a investigação, a plataforma identificou indicadores semelhantes a ataques anteriores atribuídos a esse grupo, como as táticas utilizadas, o malware empregado, além de endereços de IP e e-mails reutilizados.
Em comunicado, a Bitrefill afirmou: “Com base nos indícios observados — incluindo o modus operandi, o malware usado, o rastreamento on-chain e o reaproveitamento de IPs e e-mails — encontramos muitas semelhanças entre este ataque e os ciberataques anteriores realizados pelo grupo Lazarus/Bluenoroff da Coreia do Norte contra outras empresas do setor cripto.”
A Bitrefill é uma plataforma de e-commerce de porte médio que permite pagamentos via criptomoedas para a compra de gift cards em lojas de 150 países.
Esses cartões podem ser usados para despesas diversas, como vestuário, alimentação, produtos de saúde e beleza, contas, serviços, combustíveis, transporte e eletrônicos.
Atualmente, a plataforma suporta mais de 600 operadoras móveis e milhares de marcas ao redor do mundo.
No dia 1º de março, a Bitrefill anunciou problemas técnicos que afetavam o acesso ao seu site e aplicativo.
No dia seguinte, confirmou a identificação de uma falha de segurança e suspendeu todos os seus serviços.
Embora os saldos dos usuários não tenham sido comprometidos, a restauração gradual dos serviços ainda está em andamento.
O incidente veio a público após a empresa notar padrões suspeitos nas compras feitas por fornecedores, na exploração do estoque e da cadeia de suprimentos dos gift cards, além da drenagem de algumas hot wallets — carteiras de criptomoedas conectadas à internet.
A investigação apontou que o ataque teve origem no laptop de um funcionário comprometido.
Os criminosos roubaram credenciais antigas, que foram usadas para acessar um snapshot contendo segredos de produção e, em seguida, ampliaram o acesso à infraestrutura mais ampla da Bitrefill, incluindo partes do banco de dados e algumas wallets.
Foram expostos cerca de 18.500 registros de compra contendo e-mails dos clientes, endereços de IP e endereços de pagamento em criptomoedas.
Em aproximadamente 1.000 transações, também foram divulgados nomes dos consumidores.
Apesar desses dados estarem armazenados de forma criptografada, a Bitrefill alerta que os criminosos podem ter obtido as chaves de decriptação.
Segundo a empresa, este foi o ataque cibernético mais grave sofrido em seus dez anos de existência, mas as perdas foram mínimas e serão absorvidas pelo capital próprio da companhia.
A Bitrefill acredita que o objetivo dos invasores era o roubo de criptomoedas e do estoque de gift cards, não dos dados pessoais dos clientes.
O grupo Bluenoroff — também conhecido como APT38 — é uma facção do grupo Lazarus, ativo desde pelo menos 2014.
Seu foco principal são organizações financeiras, com recente intensificação nos ataques à indústria de criptomoedas, visando o roubo desses ativos.
Como resposta, a Bitrefill ampliou suas revisões de segurança e testes de penetração, endureceu os controles de acesso, aprimorou os sistemas de monitoramento e logs, além de ajustar mecanismos automáticos de desligamento para proteger sua infraestrutura.
Atualmente, a maioria dos serviços já voltou a operar normalmente, e os clientes não precisam tomar nenhuma ação específica, exceto redobrar a atenção com as comunicações recebidas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...