Bitrefill resumes operations after Lazarus-linked hack exposed crypto wallets and customer data, with losses covered internally.

Die Plattform für Kryptowährungszahlungen und Geschenkkarten Bitrefill hat den Betrieb wieder aufgenommen, nachdem ein Cyberangriff am 1. März 2026 Teile ihrer Infrastruktur und Kryptowährungs-Wallets offengelegt hatte.

Das Unternehmen führt den Vorfall nach interner Untersuchung auf die mit Nordkorea in Verbindung stehende Lazarus Group zurück.

Angreifer erlangten Zugriff auf Produktionsschlüssel, entleerten Mittel aus Hot-Wallets und griffen auf einen begrenzten Satz von Kundenkaufdatensätzen zu.

Bitrefill erklärte, alle Verluste aus Betriebskapital zu decken.

Obwohl die Dienste wieder normalisiert sind, verdeutlicht der Vorfall die Risiken für Krypto-Plattformen und die Raffinesse staatlich verbundener Hackergruppen.

https://twitter.com/bitrefill/status/2033931580352221656

Wie der Vorfall begann

Der Angriff ging von einem kompromittierten Laptop eines Mitarbeiters aus, der veraltete Zugangsdaten offenlegte.

Damit konnten die Angreifer sich innerhalb von Bitrefills Systemen bewegen und Zugang zu Infrastruktur erhalten, einschließlich Datenbanken und Kryptowährungs-Wallets.

Der Vorfall wurde sichtbar, als das Unternehmen ungewöhnliches Kaufverhalten bei Lieferanten feststellte.

Die Angreifer nutzten den Gutscheinbestand aus, während sie Mittel aus Hot-Wallets transferierten.

Bitrefill reagierte, indem das Unternehmen Systeme offline nahm, um den Vorfall einzudämmen.

Das Unternehmen bestätigte später, dass die Angreifer Schadsoftware, On-Chain-Analysen und wiederverwendete IP- und E-Mail-Muster eingesetzt haben.

Diese Methoden entsprachen Taktiken, die der Lazarus Group, auch bekannt als Bluenoroff, zugeschrieben werden.

Verbindungen zu früheren Krypto-Angriffen

Der Lazarus Group wurden mehrere Sicherheitsverletzungen im Kryptowährungssektor zugeschrieben.

Frühere Vorfälle richteten sich gegen Plattformen wie Ronin Network, Harmony’s Horizon Bridge, WazirX und Atomic Wallet.

Bitrefill sagte, die in diesem Angriff verwendeten Techniken zeigten Ähnlichkeiten mit früheren Fällen.

Dazu gehörten der Zugang über kompromittierte Zugangsdaten, das Anvisieren von Hot-Wallets und das Verschieben von Mitteln über Blockchain-Netzwerke.

Eine detaillierte Schilderung des Vorfalls teilte das Unternehmen auf X und erläuterte, wie die Angreifer Cyber-Einbruchsmethoden mit blockchainbasierten Mittelbewegungen kombinierten.

Offenlegung von Kundendaten

Beim Vorfall wurde auf etwa 18,500 Kaufdatensätze zugegriffen.

Diese Datensätze enthielten E-Mail-Adressen, Kryptowährungs-Zahlungsadressen und Metadaten wie IP-Adressen.

Ungefähr 1,000 Datensätze enthielten außerdem verschlüsselte Benutzernamen, die mit Käufen verknüpft waren.

Bitrefill erklärte, diese Teilmenge als potenziell kompromittiert zu betrachten und hat betroffene Nutzer kontaktiert.

Das Unternehmen erklärte, es gebe keine Hinweise darauf, dass Kundendaten das primäre Ziel waren.

Interne Protokolle zeigten, dass die Angreifer eine begrenzte Anzahl von Abfragen ausführten, die sich auf Kryptowährungssalden und Gutscheinbestand konzentrierten, statt die gesamte Datenbank zu exfiltrieren.

Bitrefill wies außerdem darauf hin, dass nur minimale personenbezogene Daten gespeichert werden und keine verpflichtende KYC erforderlich ist, was das Ausmaß der Exposition möglicherweise reduziert haben könnte.

Nutzern wurde geraten, bei unerwarteten Mitteilungen vorsichtig zu sein.

Wiederherstellung und Sicherheitsmaßnahmen

Bitrefill teilte mit, dass die meisten Systeme, einschließlich Zahlungen, Bestände und Konten, jetzt wieder online seien und die Transaktionsvolumen zur Normalität zurückkehren.

Das Unternehmen bestätigte, weiterhin profitabel zu sein und die finanziellen Auswirkungen des Vorfalls auffangen zu können.

Als Reaktion wurden Sicherheitsverbesserungen eingeführt.

Dazu gehören externe Penetrationstests, strengere Zugriffskontrollen, verbesserte Protokollierung und Überwachung sowie aktualisierte Incident-Response-Verfahren.

Das Unternehmen arbeitet im Rahmen der Untersuchung weiterhin mit Sicherheitsforschern, Incident-Response-Teams, On-Chain-Analysten und Strafverfolgungsbehörden zusammen.

Bitrefill beschrieb dies als den ersten größeren Sicherheitsvorfall in mehr als einem Jahrzehnt Betrieb und gab an, nach dem Angriff Maßnahmen zur Stärkung seiner Abwehr ergriffen zu haben.

The post Bitrefill-Hack mit Lazarus-Verbindung: Was er über Krypto-Risiken zeigt appeared first on Invezz