Lazarus Group знову атакує! Ноутбук співробітника Bitrefill був зламаний, кошти гарячого гаманця вкрадені

Криптовалютна платформа для електронної комерції Bitrefill 18 березня опублікувала у X інформацію про те, що 1 березня вона зазнала кібернападу, який за характером та ознаками дуже нагадує відомі методи хакерської групи Lazarus Group з Північної Кореї. Зловмисники проникли у ноутбук одного з працівників, що дозволило їм викрасти кошти з теплового гаманця компанії та отримати доступ до 18 500 записів про покупки.

Шлях атаки: від зламу ноутбука працівника до теплового гаманця

Розкриття Bitrefill показує багаторівневий шлях проникнення: спершу зловмисники використали шкідливе програмне забезпечення для компрометації пристрою працівника, а потім, використовуючи його як плацдарм, здійснили горизонтальний рух до теплового гаманця компанії. Такий сценарій, коли кінцевий пристрій виступає воротами до основних активів, відповідає відомим методам Lazarus Group та її пов’язаних структур, зокрема BlueNoroff Group.

Bitrefill зазначає, що, ймовірно, саме BlueNoroff Group є учасником цієї атаки або навіть єдиним її виконавцем. Що стосується доступу до даних, зловмисники здійснили обмежений запит до бази даних з інформацією про покупки, головною метою було «виявлення активів, що можна викрасти, включаючи криптовалюти та запаси подарункових карт». Компанія підкреслює, що немає доказів того, що зловмисники викрали всю базу даних; мотивом атаки була фінансова вигода.

Вплив на клієнтів: обмежена витік інформації, повне відновлення сервісів

Зловмисники отримали доступ до 18 500 записів про покупки. Bitrefill заявляє, що це могло спричинити витік «обмеженої кількості клієнтської інформації», але не зафіксовано ознак масштабного вилучення бази даних. Компанія повідомляє: «Практично всі сервіси вже відновлено — платежі, запаси та облікові записи, обсяг продажів повернувся до нормальних рівнів».

Заходи безпеки: залучення чотирьох компаній з кібербезпеки та повне оновлення системи захисту

Після інциденту Bitrefill вжив ряд заходів:

• Негайне блокування: у перші години закрили відповідні системи для запобігання поширенню атаки.
• Зв’язок із правоохоронними органами: повідомили відповідні служби.
• Співпраця з сторонніми компаніями з кібербезпеки: залучили Security Alliance, FearsOff Security, Recoveris.io та zeroShadow для спільного розслідування.
• Посилення систем безпеки: впровадили рекомендації фахівців, посилили внутрішній контроль доступу, покращили моніторинг для скорочення часу виявлення та реагування.

Bitrefill зазначає, що з моменту інциденту його заходи з кіберзахисту значно покращилися.

Про Lazarus Group: від Bybit із 1,4 мільярда до Bitrefill

Lazarus Group — одна з найпотужніших та найнебезпечніших хакерських структур у криптовалютній індустрії, тісно пов’язана з урядом Північної Кореї. У лютому 2025 року її звинуватили у здійсненні найбільшої в історії крадіжки криптовалют — з біржі Bybit було викрадено активів на суму до 1,4 мільярда доларів, що є найбільшим у світі випадком криптохакінгу.

Цей інцидент з Bitrefill — найновіший у низці атак, які, за підозрою, організовані Lazarus Group або її пов’язаними структурами, і знову підтверджують, що основним шляхом проникнення є злам обладнання співробітників криптокомпаній.

Поширені запитання

Яка основна тактика атаки Bitrefill?

Атака сталася 1 березня і полягала у використанні шкідливого програмного забезпечення, слідкування за транзакціями у блокчейні та повторному використанні IP-адрес та електронних адрес для проникнення у ноутбук працівника, що дозволило отримати доступ до теплового гаманця та викрасти кошти, а також здійснити обмежений запит до 18 500 записів про покупки.

Чому Bitrefill пов’язує цю атаку з Lazarus Group?

Компанія зазначає, що методи атаки — включно з розгортанням шкідливого ПЗ, слідкуванням у блокчейні та повторним використанням інфраструктури — дуже нагадують відомі ознаки Lazarus Group. Також вона вказує, що до цієї атаки може бути причетна або єдина відповідальна структура — BlueNoroff Group, яка тісно пов’язана з Lazarus.

Чи були особисті дані клієнтів Bitrefill масштабно викрадені?

Bitrefill заявляє, що наразі немає доказів того, що зловмисники викрали всю базу даних. Вони здійснили лише обмежений запит, головною метою якого було визначити активи для викрадення. Однак, оскільки отримано доступ до 18 500 записів про покупки, існує ризик витоку частини клієнтської інформації, тому рекомендується слідкувати за можливими аномаліями.