**Bitrefill**, una tienda de tarjetas de regalo impulsada por criptomonedas, cree que el ciberataque que experimentó a principios de este mes probablemente fue llevado a cabo por hackers norcoreanos pertenecientes al grupo **BlueNoroff**. ### Atribución a BlueNoroff Durante la investigación, **Bitrefill** observó indicadores consistentes con ataques previos atribuidos al actor de amenazas norcoreano, incluidas tácticas, malware y direcciones IP y de correo electrónico reutilizadas similares. "Basándonos en los indicadores observados durante la investigación, incluyendo el modus operandi, el malware utilizado, el rastreo en cadena y las direcciones IP + de correo electrónico reutilizadas (!), encontramos muchas similitudes entre este ataque y ciberataques pasados del grupo **Lazarus** / **BlueNoroff** de la RPDC contra otras empresas en las industrias de criptomonedas", declaró **Bitrefill**. ### Negocio de Bitrefill **Bitrefill** opera como una plataforma de comercio electrónico que permite a los usuarios comprar tarjetas de regalo para varias tiendas en 150 países utilizando criptomonedas. Estas tarjetas de regalo se pueden usar para una amplia gama de bienes y servicios. La plataforma admite más de 600 operadores móviles y miles de marcas en todo el mundo. ### Cronología del Ataque e Impacto El 1 de marzo, **Bitrefill** experimentó problemas técnicos que afectaron el acceso a su sitio web y aplicación. La compañía reveló más tarde que había sufrido un ciberataque y puso todos los servicios fuera de línea. Si bien los saldos de los usuarios no se vieron afectados, la restauración de los servicios aún está en curso. La brecha se detectó después de que **Bitrefill** notara patrones sospechosos de compra de proveedores, explotación del inventario y líneas de suministro de tarjetas de regalo, y el vaciado de algunas billeteras "calientes". ### Vector de Ataque La investigación reveló que el ataque se originó en la laptop comprometida de un empleado. Los atacantes robaron credenciales heredadas y las usaron para acceder a una instantánea que contenía secretos de producción, lo que les permitió escalar el acceso a la infraestructura más amplia de **Bitrefill**, incluidas partes de la base de datos y algunas billeteras de criptomonedas. ### Exposición de Datos Se expusieron aproximadamente 18.500 registros de compras que contenían direcciones de correo electrónico de clientes, direcciones IP y direcciones de pago de criptomonedas. Además, se expusieron nombres de clientes para 1.000 compras. Si bien esta información se almacena cifrada, **Bitrefill** reconoce que los atacantes pueden haber obtenido las claves de descifrado. ### Pérdidas Financieras Mínimas **Bitrefill** considera este el ciberataque más grave en sus diez años de historia, pero informa pérdidas financieras mínimas, que se cubrirán con su capital. La compañía cree que los atacantes se dirigían principalmente al inventario de criptomonedas y tarjetas de regalo, en lugar de a la información del cliente. ### Perfil de BlueNoroff **BlueNoroff**, también conocido como APT38, es un subgrupo del **Lazarus Group** y ha estado activo desde al menos 2014. El grupo generalmente se enfoca en organizaciones financieras, con un enfoque reciente en la industria de las criptomonedas, con el objetivo de robar criptomonedas. ### Esfuerzos de Remediación **Bitrefill** está mejorando su postura de seguridad mediante la expansión de revisiones de seguridad y pruebas de penetración, el endurecimiento de los controles de acceso, la mejora del registro y la monitorización, y el refinamiento de los mecanismos de apagado automatizado. La mayoría de los servicios han vuelto a su estado operativo normal, y se aconseja a los clientes que tengan precaución al manejar las comunicaciones entrantes. <div> <h2>Red Report 2026: Por qué el cifrado de ransomware cayó un 38%</h2> El malware se está volviendo más inteligente. El Red Report 2026 revela cómo las nuevas amenazas usan las matemáticas para detectar sandboxes y ocultarse a plena vista. Descargue nuestro análisis de 1.1 millones de muestras maliciosas para descubrir las 10 principales técnicas y ver si su pila de seguridad está ciega. </div>