Die Krypto-E-Commerce-Plattform Bitrefill sagte, sie sei Anfang des Monats das Ziel eines Cyberangriffs gewesen, der zu gestohlenen Geldern und einer begrenzten Offenlegung von Kundendaten geführt habe, wobei Indikatoren darauf hindeuteten, dass die mit Nordkorea verbundene Lazarus Group der wahrscheinliche Täter sei.
Der Verstoß begann am 1. März und ging von einem manipulierten Mitarbeiter-Laptop aus. nach zum Vorfallbericht des Unternehmens.
Angreifer konnten an Produktionssysteme gebundene Legacy-Anmeldeinformationen extrahieren und so den Zugriff auf die gesamte Infrastruktur von Bitrefill ausweiten, einschließlich Segmenten der internen Datenbank und bestimmter Hot-Wallets für Kryptowährungen.
Bitrefill sagte, die Angreifer hätten einen nicht genannten Betrag an Geldern aus seinen Hot Wallets abgezogen und gleichzeitig seine Geschenkkarten-Bestandssysteme ausgenutzt, um verdächtige Einkäufe bei Anbietern zu tätigen. Das Unternehmen machte keine Angaben zu den gesamten finanziellen Auswirkungen, gab jedoch an, dass es die Verluste mithilfe von Betriebskapital auffangen werde.
Der Eingriff wurde zunächst durch unregelmäßige Kaufmuster und Anomalien in der Lieferantenaktivität entdeckt.
Als Antwort: Bitrefill hat seine Systeme vorübergehend offline geschaltet, um den Verstoß in seinen weltweiten Betrieben einzudämmen. Das Unternehmen sagte, dass die Dienstleistungen, einschließlich Zahlungen und Kontozugriff, inzwischen wieder auf das normale Niveau zurückgekehrt seien.
Im Rahmen des Angriffs wurde auf etwa 18.500 Kaufdatensätze zugegriffen. Zu den offengelegten Daten gehören E-Mail-Adressen, Zahlungsadressen für Kryptowährungen und Metadaten wie IP-Adressen.
Etwa 1.000 dieser Datensätze betrafen verschlüsselte Kundennamen, die aufgrund der Möglichkeit, dass Angreifer Zugriff auf Verschlüsselungsschlüssel hatten, als potenziell offengelegt gelten. Bitrefill gab an, betroffene Benutzer direkt benachrichtigt zu haben.
Trotz des Verstoßes betonte das Unternehmen, dass es nur minimale personenbezogene Daten speichere und für die meisten Transaktionen keine obligatorische „Know-Your-Customer“-Verifizierung vorschreibe. Alle KYC-bezogenen Informationen werden von externen Anbietern verarbeitet und nicht in den Systemen von Bitrefill gespeichert. Das Unternehmen fügte hinzu, es gebe keine Beweise dafür, dass seine gesamte Datenbank exfiltriert wurde oder dass Kundendaten das primäre Ziel waren.
„Basierend auf unseren Untersuchungen und Protokollen haben wir keinen Grund zu der Annahme, dass Kundendaten das Ziel waren“, sagte das Unternehmen und stellte fest, dass die Angreifer offenbar begrenzte Abfragen durchführten, die mit der Suche nach wertvollen Vermögenswerten wie Kryptowährungsbeständen und Geschenkkartenbeständen einhergingen.
Beteiligt war die nordkoreanische Lazarus-Gruppe
Bitrefill führte mehrere Indikatoren an, die den Angriff mit der Lazarus-Gruppe in Verbindung bringen, darunter Ähnlichkeiten bei Malware, wiederverwendete Infrastruktur wie IP-Adressen und E-Mail-Konten sowie Transaktionsmuster in der Kette.
Die Gruppe, oft verbunden mit Nordkorea war über seine spezialisierte Untergruppe Bluenoroff in einige der größten Kryptodiebstähle der letzten Jahre verwickelt.
Cybersicherheitsfirmen wie ZeroShadow, SEAL911 und RecoverisTeam unterstützten die Reaktion und Untersuchung sowie On-Chain-Analysten und Strafverfolgungsbehörden. Das Unternehmen sagte, es führe zusätzliche Sicherheitsmaßnahmen ein, darunter erweiterte Überwachungssysteme und interne Kontrollen, um ähnliche Vorfälle zu verhindern.
Der Angriff unterstreicht die anhaltende Besorgnis über staatlich geförderte Cyber-Bedrohungen im Bereich digitaler Vermögenswerte.
Nach Angaben des Blockchain-Analyseunternehmens Chainalysis sind Gruppen mit Nordkorea verbunden waren verantwortlich für mehr als 2 Milliarden US-Dollar an Kryptodiebstählen im Jahr 2025, was einen erheblichen Anteil der gesamten illegalen Aktivitäten in diesem Bereich ausmacht.
Bitrefill sagte, der Betrieb habe sich nach dem Vorfall stabilisiert und zeigte sich zuversichtlich, dass sich das Unternehmen wieder erholt. Die Kundenaktivität und das Verkaufsvolumen seien wieder auf das typische Niveau zurückgekehrt.
