Bitrefill подвергся кибератаке: следы ведут к северокорейской Lazarus Group

Bitrefill раскрыл подробности мартовской кибератаки

Криптовалютный интернет-магазин Bitrefill 17 марта публично сообщил о кибератаке, произошедшей ещё 1 марта 2026 года. По итогам внутреннего расследования компания пришла к выводу, что за инцидентом, вероятнее всего, стоит подразделение BlueNoroff северокорейской хакерской группировки Lazarus Group.

«March 1st incident report — On March 1, 2026, Bitrefill was the target of a cyberattack. Based on indicators observed during the investigation — including the modus operandi, the malware used, on-chain tracing and reused IP + email addresses (!) — we find many similarities…» — Bitrefill (@bitrefill), оригинальный пост

Специалисты выявили совпадения с прежними операциями Lazarus по ряду признаков: характерное вредоносное ПО, методы проникновения, ончейн-следы транзакций, а также повторно использованные IP- и email-адреса.

Почему это важно

Lazarus Group — одна из самых активных и опасных хакерских группировок, специализирующихся на криптовалютной отрасли. Новая атака демонстрирует, что даже устоявшиеся сервисы с многолетней историей остаются уязвимыми перед целенаправленными атаками на уровне сотрудников. Компрометация через рабочее устройство конкретного специалиста — типичный вектор, который Lazarus неоднократно применяла ранее, и этот случай подчёркивает критическую необходимость защиты конечных точек доступа.

Как проходила атака

Проникновение началось с компрометации ноутбука одного из сотрудников Bitrefill. Злоумышленники завладели устаревшими учётными данными, через которые получили доступ к снимку системы, содержащему производственную информацию. Используя эту точку входа, хакеры смогли повысить привилегии и проникнуть глубже в инфраструктуру — вплоть до баз данных и криптовалютных кошельков.

Служба безопасности Bitrefill зафиксировала аномальную активность: подозрительные операции с подарочными картами и вывод средств с горячих кошельков на адреса, принадлежащие атакующим. Сразу после обнаружения угрозы все системы были экстренно отключены.

Масштаб утечки данных

Расследование показало, что злоумышленники получили доступ примерно к 18 500 записям о покупках. Среди скомпрометированных данных:

• адреса электронной почты;
• криптовалютные адреса;
• метаданные, включая IP-адреса.

Приблизительно в 1000 случаях клиенты указывали свои имена при покупке определённых товаров. Эта информация хранилась в зашифрованном виде, однако хакеры потенциально могли завладеть ключами шифрования. Bitrefill рассматривает все эти данные как скомпрометированные и уже направил уведомления пострадавшим пользователям.

Данные верификации клиентов при этом не пострадали — они находятся у стороннего провайдера и не имеют резервных копий в системах Bitrefill.

Восстановление и меры защиты

Компания заявила, что компенсирует все финансовые потери из собственного операционного капитала. На текущий момент работа сервиса полностью восстановлена.

К расследованию инцидента привлечены правоохранительные органы, а также специализированные фирмы по кибербезопасности — Security Alliance и zeroShadow. Bitrefill усилил защитные меры: внедрены дополнительные инструменты мониторинга и пересмотрены протоколы реагирования на инциденты.