**Bitrefill**, ein Krypto-Geschenkkartenshop, glaubt, dass der Cyberangriff, den das Unternehmen Anfang dieses Monats erlebte, wahrscheinlich von nordkoreanischen Hackern der Gruppe **BlueNoroff** verübt wurde. ### Zuschreibung an BlueNoroff Während der Untersuchung beobachtete **Bitrefill** Indikatoren, die mit früheren Angriffen auf den nordkoreanischen Bedrohungsakteur übereinstimmen, darunter ähnliche Taktiken, malware und wiederverwendete IP- und E-Mail-Adressen. "Basierend auf den während der Untersuchung beobachteten Indikatoren – einschließlich des Modus Operandi, der verwendeten malware, der On-Chain-Analyse und der wiederverwendeten IP- und E-Mail-Adressen (!) – stellen wir viele Ähnlichkeiten zwischen diesem Angriff und früheren Cyberangriffen der DPRK **Lazarus** / **BlueNoroff**-Gruppe auf andere Unternehmen in der Kryptoindustrie fest", erklärte **Bitrefill**. ### Bitrefills Geschäft **Bitrefill** fungiert als E-Commerce-Plattform, die es Nutzern ermöglicht, Geschenkkarten für verschiedene Geschäfte in 150 Ländern mit Kryptowährung zu kaufen. Diese Geschenkkarten können für eine breite Palette von Waren und Dienstleistungen verwendet werden. Die Plattform unterstützt über 600 Mobilfunkanbieter und Tausende von Marken weltweit. ### Angriffszeitplan und Auswirkungen Am 1. März erlebte **Bitrefill** technische Probleme, die den Zugriff auf seine Website und App beeinträchtigten. Das Unternehmen gab später bekannt, dass es einen Cyberangriff erlitten hatte und alle Dienste offline genommen wurden. Während die Guthaben der Nutzer unberührt blieben, ist die Wiederherstellung der Dienste noch im Gange. Der Einbruch wurde entdeckt, nachdem **Bitrefill** verdächtige Einkaufsmuster von Lieferanten, die Ausnutzung von Geschenkkartenvorräten und Lieferketten sowie das Leeren einiger "Hot" Wallets bemerkte. ### Angriffsvektor Die Untersuchung ergab, dass der Angriff von einem kompromittierten Laptop eines Mitarbeiters ausging. Die Angreifer stahlen Legacy-Anmeldeinformationen und nutzten diese, um auf einen Snapshot mit Produktionsgeheimnissen zuzugreifen, was ihnen ermöglichte, ihre Zugriffsrechte auf die breitere **Bitrefill**-Infrastruktur auszuweiten, einschließlich Teilen der Datenbank und einiger Kryptowährungs-Wallets. ### Datenoffenlegung Ungefähr 18.500 Kaufdatensätze, die E-Mail-Adressen, IP-Adressen und Kryptowährungs-Zahlungsadressen der Kunden enthielten, wurden offengelegt. Zusätzlich wurden für 1.000 Käufe Kundennamen offengelegt. Obwohl diese Informationen verschlüsselt gespeichert sind, räumt **Bitrefill** ein, dass die Angreifer möglicherweise die Entschlüsselungsschlüssel erhalten haben. ### Minimale finanzielle Verluste **Bitrefill** betrachtet dies als den schwerwiegendsten Cyberangriff in seiner zehnjährigen Geschichte, berichtet jedoch von minimalen finanziellen Verlusten, die aus seinem Kapital gedeckt werden. Das Unternehmen glaubt, dass die Angreifer hauptsächlich Kryptowährung und Geschenkkartenvorräte ins Visier nahmen und nicht Kundeninformationen. ### Profil von BlueNoroff **BlueNoroff**, auch bekannt als APT38, ist eine Untergruppe der **Lazarus Group** und ist seit mindestens 2014 aktiv. Die Gruppe zielt typischerweise auf Finanzorganisationen ab, mit einem jüngsten Fokus auf die Kryptowährungsbranche, mit dem Ziel, Kryptowährung zu stehlen. ### Abhilfemaßnahmen **Bitrefill** verbessert seine Sicherheitslage durch die Ausweitung von Sicherheitsüberprüfungen und Penetrationstests, die Verschärfung von Zugriffskontrollen, die Verbesserung von Protokollierung und Überwachung sowie die Verfeinerung automatisierter Abschaltmechanismen. Die meisten Dienste sind wieder im normalen Betriebszustand, und Kunden werden gebeten, bei der Bearbeitung eingehender Kommunikation Vorsicht walten zu lassen. <div> <h2>Red Report 2026: Warum die Ransomware-Verschlüsselung um 38 % zurückging</h2> Malware wird immer intelligenter. Der Red Report 2026 enthüllt, wie neue Bedrohungen Mathematik nutzen, um Sandboxes zu erkennen und sich unauffällig zu verstecken. Laden Sie unsere Analyse von 1,1 Millionen bösartigen Samples herunter, um die Top 10 Techniken aufzudecken und zu sehen, ob Ihr Security Stack blind ist. </div>