Il gruppo della Corea del Nord dietro il cyber-attacco che ha svuotato wallet e compromesso 18.500 transazioni dell’e-commerce Bitcoin.
Il 1° marzo Bitrefill è stata colpita da un attacco informatico che sarebbe riconducibile al gruppo Lazarus, l’organizzazione di cybercriminali legata al regime nordcoreano.
L’intrusione è iniziata attraverso il laptop compromesso di un dipendente. Da tale dispositivo, gli attaccanti sono riusciti a estrarre credenziali obsolete che hanno aperto le porte a uno snapshot contenente informazioni sensibili di produzione. Una volta dentro, l’escalation è stata rapida.
Partendo dalle credenziali iniziali, il gruppo criminale ha esteso il proprio accesso all’intera infrastruttura aziendale, penetrando porzioni critiche del database e raggiungendo i wallet operativi (hot wallet).
Il primo campanello d’allarme è arrivato dall’analisi dei pattern di acquisto. Il team di Bitrefill ha notato anomalie sospette nelle transazioni con alcuni fornitori: l’inventario di gift card veniva sistematicamente sfruttato. Contemporaneamente, i fondi custoditi negli hot wallet venivano drenati e trasferiti verso indirizzi controllati dagli aggressori.
Gli investigatori hanno identificato multiple evidenze che puntano verso il gruppo Lazarus/Bluenoroff, braccio operativo della DPRK nel cyberspazio. Bitrefill ha collaborato strettamente con esperti di sicurezza informatica, specialisti di incident response, analisti blockchain e forze dell’ordine per ricostruire l’accaduto e chiudere le vulnerabilità.
I dati compromessi
Durante la violazione sono state compromesse circa 18.500 transazioni di acquisto. I dati esposti includevano indirizzi email, indirizzi di pagamento in digital asset e metadati come gli indirizzi IP degli utenti.
Per un sottogruppo di circa 1.000 transazioni, dove l’acquisto di prodotti specifici richiedeva l’inserimento di un nome, i dati erano criptati nel database. Tuttavia, considerando che gli attaccanti potrebbero aver ottenuto accesso alle chiavi di decrittazione, Bitrefill tratta tali informazioni come potenzialmente compromesse. I clienti coinvolti hanno già ricevuto notifica diretta via email.
Misure di sicurezza post-attacco
L’azienda ha implementato un piano di rafforzamento della cybersecurity su più fronti:
- revisioni approfondite con penetration test condotti da esperti esterni multipli;
- irrigidimento ulteriore dei controlli di accesso interno;
- potenziamento di logging e monitoring per rilevamento più rapido delle anomalie;
- raffinamento e test continui delle procedure di incident response e shutdown automatico.
Al momento, sulla base delle informazioni disponibili, Bitrefill non ritiene necessarie azioni specifiche da parte dei clienti. Come precauzione generale, l’azienda raccomanda di mantenere alta l’attenzione verso comunicazioni inaspettate che menzionano Bitrefill o tematiche legate ai digital asset, potenziali vettori di phishing o social engineering.
