**Bitrefill**, un magasin de cartes cadeaux alimenté par la cryptomonnaie, estime que la cyberattaque qu'elle a subie plus tôt ce mois-ci a probablement été menée par des pirates nord-coréens appartenant au groupe **BlueNoroff**. ### Attribution à BlueNoroff Au cours de l'enquête, **Bitrefill** a observé des indicateurs cohérents avec des attaques antérieures attribuées à l'acteur de menace nord-coréen, notamment des tactiques, des malware et des adresses IP et e-mail réutilisées similaires. « Sur la base des indicateurs observés lors de l'enquête – y compris le modus operandi, les malware utilisés, le traçage on-chain et les adresses IP + e-mail réutilisées (!) – nous trouvons de nombreuses similitudes entre cette attaque et les cyberattaques passées du groupe **Lazarus** / **BlueNoroff** de la RPDC contre d'autres entreprises des industries de la crypto », a déclaré **Bitrefill**. ### Activité de Bitrefill **Bitrefill** fonctionne comme une plateforme de commerce électronique qui permet aux utilisateurs d'acheter des cartes cadeaux pour divers magasins dans 150 pays en utilisant de la cryptomonnaie. Ces cartes cadeaux peuvent être utilisées pour un large éventail de biens et de services. La plateforme prend en charge plus de 600 opérateurs mobiles et des milliers de marques dans le monde. ### Chronologie et impact de l'attaque Le 1er mars, **Bitrefill** a rencontré des problèmes techniques affectant l'accès à son site web et à son application. L'entreprise a ensuite révélé avoir subi une cyberattaque et a mis tous les services hors ligne. Bien que les soldes des utilisateurs n'aient pas été affectés, la restauration des services est toujours en cours. La violation a été détectée après que **Bitrefill** a remarqué des schémas d'achat suspects chez les fournisseurs, l'exploitation du stock et des chaînes d'approvisionnement de cartes cadeaux, ainsi que le vidage de certains portefeuilles « chauds ». ### Vecteur d'attaque L'enquête a révélé que l'attaque provenait de l'ordinateur portable d'un employé compromis. Les attaquants ont volé des identifiants hérités et les ont utilisés pour accéder à un instantané contenant des secrets de production, leur permettant d'escalader l'accès à l'infrastructure plus large de **Bitrefill**, y compris des parties de la base de données et certains portefeuilles de cryptomonnaies. ### Exposition des données Environ 18 500 enregistrements d'achat contenant les adresses e-mail des clients, les adresses IP et les adresses de paiement en cryptomonnaie ont été exposés. De plus, les noms des clients ont été exposés pour 1 000 achats. Bien que ces informations soient stockées sous forme cryptée, **Bitrefill** reconnaît que les attaquants ont pu obtenir les clés de déchiffrement. ### Pertes financières minimales **Bitrefill** considère cette attaque comme la cyberattaque la plus grave de ses dix années d'existence, mais signale des pertes financières minimes, qui seront couvertes par son capital. L'entreprise estime que les attaquants visaient principalement les cryptomonnaies et l'inventaire des cartes cadeaux, plutôt que les informations des clients. ### Profil de BlueNoroff **BlueNoroff**, également connu sous le nom d'APT38, est un sous-groupe du **Lazarus Group** et est actif depuis au moins 2014. Le groupe cible généralement les organisations financières, avec un accent récent sur l'industrie de la cryptomonnaie, dans le but de voler des cryptomonnaies. ### Efforts de remédiation **Bitrefill** renforce sa posture de sécurité en élargissant les revues de sécurité et les tests d'intrusion, en resserrant les contrôles d'accès, en améliorant la journalisation et la surveillance, et en affinant les mécanismes d'arrêt automatisés. La plupart des services sont revenus à un état opérationnel normal, et les clients sont invités à faire preuve de prudence lors de la gestion des communications entrantes. <div> <h2>Rapport Rouge 2026 : Pourquoi le chiffrement des Ransomware a chuté de 38 %</h2> Les malware deviennent plus intelligents. Le Rapport Rouge 2026 révèle comment les nouvelles menaces utilisent les mathématiques pour détecter les sandboxes et se cacher à la vue de tous. Téléchargez notre analyse de 1,1 million d'échantillons malveillants pour découvrir les 10 principales techniques et voir si votre pile de sécurité est aveugle. </div>