A Bitrefill culpa hackers norte-coreanos pela exploração de vulnerabilidade ocorrida em 1º de março e se compromete a cobrir os prejuízos
A Bitrefill divulgou um relatório completo sobre uma violação de segurança ocorrida em 1º de março e acredita que ela tenha sido obra do grupo de hackers norte-coreano chamado Grupo Lazarus.
O Lazarus Group também foi responsável pelo maior roubo individual da história das criptomoedas, quando atingiu a Bybit no início do ano passado e levou mais de US$ 1 bilhão.
A empresa foi transparente sobre como odent ocorreu, mas não divulgou o valor exato roubado. A Bitrefill alega que sua rede foi acessada por meio do laptop comprometido de um funcionário, resultando no esvaziamento de diversas carteiras online.
A Bitrefill escondeu que foi hackeada?
A Bitrefill divulgou um relatório completo sobre a violação de segurança ocorrida em 1º de março. A empresa atribuiu formalmente o ataque ao grupo de hackers norte-coreano conhecido como Lazarus Group ou Bluenoroff, com base nas evidências analisadas, incluindo o malware específico utilizado, o modus operandi dos atacantes, o tracon-chain dos fundos roubados e a reutilização de endereços IP e de e-mail previamente associados a operações norte-coreanas.
Odent começou quando o laptop de um funcionário foi comprometido e usado como ponto de entrada inicial para os hackers obterem acesso a umadentlegada. Essadentconcedeu aos invasores acesso a um snapshot dos sistemas da empresa que continha segredos de produção.
Com esses segredos em mãos, o Grupo Lazarus conseguiu expandir seu acesso por toda a infraestrutura da Bitrefill. Eventualmente, eles alcançaram partes do banco de dados da empresa e diversas carteiras online de criptomoedas.
A equipe de segurança da Bitrefill percebeu a violação pela primeira vez através de "padrões de compra suspeitos" envolvendo seus fornecedores. Os invasores estavam explorando o estoque de cartões-presente e as cadeias de suprimentos da empresa.
Simultaneamente, a empresa percebeu que fundos estavam sendo drenados de suas carteiras online e transferidos para carteiras controladas pelos atacantes.
Em resposta, a Bitrefill imediatamente desligou todos os sistemas para conter a ameaça, mas devido ao fato de a rede global de comércio eletrônico da empresa possuir milhares de produtos e dezenas de fornecedores, o processo de desligamento e reinicialização seguros da infraestrutura levou mais de duas semanas.
Qual foi o valor roubado durante a violação de segurança da Bitrefill?
A investigação da Bitrefill revelou que os hackers não estavam muito interessados em roubar dados de clientes; não que tivessem conseguido. A empresa enfatizou que seu modelo de negócios é projetado para armazenar pouquíssimas informações pessoais. Ela não exige documentação obrigatória de "Conheça Seu Cliente" (KYC) para a maioria dos usuários, e os dados fornecidos para verificação de nível superior são gerenciados por um provedor externo e não estavam armazenados nos sistemas que foram invadidos.
No entanto, os atacantes tiveram acesso a aproximadamente 18.500 registros de compras. Esses registros incluíam endereços de e-mail de clientes, endereços de pagamento em criptomoedas e metadados como endereços IP.
de cerca de 1.000 clientes da Bitrefill que precisaram fornecer nomes para produtos específicos foram criptografados. No entanto, como os hackers podem ter tido acesso às chaves de criptografia, a Bitrefill está tratando esses dados como potencialmente comprometidos e já enviou um e-mail aos afetados.
Em relação às perdas financeiras, a Bitrefill anunciou que absorverá o impacto. Embora as carteiras online tenham sido esvaziadas, a empresa afirmou que continua bem capitalizada e lucrativa há vários anos. Todos os saldos dos usuários permanecem seguros e intactos.
A Bitrefill trabalhou com diversas entidades de segurança de alto nível, incluindo Zeroshadow, SEAL Org e a equipe Recoveris, para mapear a movimentação dos fundos roubados no blockchain. Eles também auxiliaram na limpeza forense dos servidores da empresa.
Desde então, a Bitrefill reforçou os controles de acesso internos para garantir que uma única violação não leve a uma quebra total do sistema. A empresa também aprimorou seus procedimentos de desligamento para reagir mais rapidamente a solicitações suspeitas ao banco de dados.
A empresa também afirmou que continua realizando testes de penetração completos com especialistas externos para encontrar quaisquer vulnerabilidades remanescentes. Atualmente, quase todos os serviços, incluindo pagamentos, reposição de estoque e funcionalidades da conta, voltaram ao normal.
Dê visibilidade onde realmente importa. Anuncie na Cryptopolitan Research e alcance os investidores e desenvolvedores mais antenados do mercado de criptomoedas.
Artigos Recomendados
