Peretas Terkait Korea Utara Diduga dalam Pelanggaran Bitrefill yang Menguras Dompet

Bitrefill mengungkapkan bahwa mereka menjadi target serangan siber pada 1 Maret, yang mengakibatkan pencurian dana cryptocurrency, dan mengatakan penyelidikan mereka menemukan beberapa indikator yang menghubungkan insiden tersebut dengan taktik yang digunakan oleh kelompok Lazarus/Bluenoroff yang terkait dengan DPRK.

Perusahaan menyatakan bahwa kesamaan dalam metode penyerang, malware, pola pelacakan on-chain, dan penggunaan ulang alamat IP dan email konsisten dengan operasi sebelumnya yang dikaitkan dengan kelompok tersebut.

Serangan Siber Bitrefill

Menurut perusahaan, pelanggaran berasal dari laptop karyawan yang disusupi, di mana kredensial lama diekstraksi. Kredensial tersebut memungkinkan akses ke snapshot yang berisi rahasia produksi, yang kemudian digunakan penyerang untuk memperluas akses mereka di seluruh sistem Bitrefill. Ini memungkinkan mereka untuk mencapai bagian-bagian database dan dompet cryptocurrency tertentu.

Dalam tweet terbarunya, Bitrefill mengatakan pertama kali mengidentifikasi insiden tersebut setelah mendeteksi pola pembelian yang tidak biasa yang melibatkan beberapa pemasok, yang menunjukkan bahwa inventaris gift card dan aliran pasokannya disalahgunakan. Pada saat yang sama, mereka mengamati bahwa beberapa hot wallet sedang dikuras, dan dana dikirim ke alamat yang dikendalikan oleh penyerang. Setelah pelanggaran dikonfirmasi, perusahaan menutup semua sistem untuk membatasi situasi.

Setelah insiden tersebut, Bitrefill mengkonfirmasi bahwa mereka telah bekerja sama dengan ahli keamanan siber eksternal, tim respons insiden, analis blockchain, dan penegak hukum.

Perusahaan mengatakan tidak ada indikasi bahwa data pelanggan menjadi fokus utama serangan. Menurut log-nya, penyerang menjalankan sejumlah terbatas query database yang konsisten dengan aktivitas penyelidikan untuk mengidentifikasi apa yang bisa diekstraksi. Ini termasuk inventaris cryptocurrency dan gift card. Bitrefill menambahkan bahwa mereka menyimpan data pribadi minimal dan tidak memerlukan KYC wajib, dengan informasi verifikasi apa pun dipegang oleh penyedia eksternal.

Namun, mereka mengkonfirmasi bahwa sekitar 18.500 catatan pembelian diakses, termasuk alamat email, alamat pembayaran cryptocurrency, dan metadata seperti alamat IP. Dalam sekitar 1.000 kasus di mana pelanggan telah memberikan nama untuk produk tertentu, informasi tersebut dienkripsi, tetapi perusahaan memperlakukannya sebagai kemungkinan diakses karena kemungkinan paparan kunci enkripsi. Pengguna tersebut telah diberitahu.

Bitrefill mengatakan saat ini tidak percaya pelanggan perlu mengambil tindakan khusus, tetapi menyarankan kewaspadaan terkait komunikasi tak terduga yang berkaitan dengan Bitrefill atau cryptocurrency.

Perusahaan menambahkan bahwa mereka telah memperkuat langkah-langkah keamanan mereka, termasuk melakukan tinjauan keamanan siber eksternal lebih lanjut dan pengujian penetrasi, memperketat kontrol akses internal, meningkatkan sistem pemantauan dan logging, dan menyempurnakan prosedur respons insiden. Mereka mengatakan kerugian finansial akan ditanggung dari modal operasional mereka, dan sebagian besar layanan, termasuk pembayaran dan inventaris, telah dipulihkan.

Kekacauan Lazarus

Meskipun banyak platform crypto telah meningkatkan kerangka keamanan mereka dalam beberapa tahun terakhir, pelaku ancaman terus melewati perlindungan. Kelompok Lazarus tetap menjadi musuh yang paling gigih dan berbahaya di sektor ini, bertanggung jawab atas peretasan crypto terbesar yang tercatat setelah mencuri $1,4 miliar dari Bybit pada Februari 2025.

Investigator blockchain ZachXBT sebelumnya mengatakan bahwa pelanggaran yang melibatkan platform seperti Bybit, DMM Bitcoin, dan WazirX melihat dana curian dicuci dengan mudah. Investigator on-chain tersebut menambahkan bahwa kelompok pencucian uang telah "tampaknya memenangkan pertempuran" atas penegakan hukum.

Postingan North Korea-Linked Hackers Suspected in Bitrefill Breach That Drained Wallets pertama kali muncul di CryptoPotato.