**Bitrefill**, uma loja de gift cards movida a cripto, acredita que o ataque cibernético que sofreu no início deste mês foi provavelmente realizado por hackers norte-coreanos pertencentes ao grupo **BlueNoroff**. ### Atribuição ao BlueNoroff Durante a investigação, a **Bitrefill** observou indicadores consistentes com ataques anteriores atribuídos ao ator de ameaças norte-coreano, incluindo táticas, malware e endereços de IP e e-mail reutilizados semelhantes. "Com base nos indicadores observados durante a investigação - incluindo o modus operandi, o malware utilizado, rastreamento on-chain e endereços de IP + e-mail reutilizados (!) - encontramos muitas semelhanças entre este ataque e ataques cibernéticos passados do grupo **Lazarus** / **BlueNoroff** da RPDC contra outras empresas nas indústrias de cripto", declarou a **Bitrefill**. ### Negócios da Bitrefill A **Bitrefill** opera como uma plataforma de e-commerce que permite aos usuários comprar gift cards para diversas lojas em 150 países usando criptomoedas. Esses gift cards podem ser usados para uma ampla gama de bens e serviços. A plataforma suporta mais de 600 operadoras de telefonia móvel e milhares de marcas em todo o mundo. ### Cronologia e Impacto do Ataque Em 1º de março, a **Bitrefill** enfrentou problemas técnicos que afetaram o acesso ao seu site e aplicativo. A empresa revelou mais tarde que sofreu um ataque cibernético e colocou todos os serviços offline. Embora os saldos dos usuários não tenham sido afetados, a restauração dos serviços ainda está em andamento. A violação foi detectada após a **Bitrefill** notar padrões suspeitos de compra de fornecedores, exploração de estoque e linhas de suprimento de gift cards, e o esvaziamento de algumas carteiras "hot". ### Vetor de Ataque A investigação revelou que o ataque se originou de um laptop de um funcionário comprometido. Os atacantes roubaram credenciais legadas e as usaram para acessar um snapshot contendo segredos de produção, permitindo que escalassem o acesso à infraestrutura mais ampla da **Bitrefill**, incluindo partes do banco de dados e algumas carteiras de criptomoedas. ### Exposição de Dados Aproximadamente 18.500 registros de compra contendo endereços de e-mail de clientes, endereços de IP e endereços de pagamento de criptomoedas foram expostos. Adicionalmente, nomes de clientes foram expostos para 1.000 compras. Embora essas informações sejam armazenadas de forma criptografada, a **Bitrefill** reconhece que os atacantes podem ter obtido as chaves de descriptografia. ### Perdas Financeiras Mínimas A **Bitrefill** considera este o ataque cibernético mais sério em seus dez anos de história, mas relata perdas financeiras mínimas, que serão cobertas de seu capital. A empresa acredita que os atacantes estavam visando principalmente o inventário de criptomoedas e gift cards, em vez de informações de clientes. ### Perfil do BlueNoroff O **BlueNoroff**, também conhecido como APT38, é um subgrupo do **Lazarus Group** e está ativo desde pelo menos 2014. O grupo geralmente visa organizações financeiras, com um foco recente na indústria de criptomoedas, com o objetivo de roubar criptomoedas. ### Esforços de Remediação A **Bitrefill** está aprimorando sua postura de segurança expandindo revisões de segurança e testes de penetração, apertando os controles de acesso, melhorando o registro e monitoramento, e refinando mecanismos de desligamento automatizado. A maioria dos serviços retornou ao status operacional normal, e os clientes são aconselhados a ter cautela ao lidar com comunicações recebidas. <div> <h2>Red Report 2026: Por que a Criptografia de Ransomware Caiu 38%</h2> Malware está ficando mais esperto. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega. </div>