Inicio
Noticias
Detalles

Bitrefill confirma un ciberataque con patrones similares al grupo Lazarus, se vaciaron los monederos calientes

iconAMBCrypto
Compartir
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconResumen

expand icon
Bitrefill confirmó un ciberataque el 1 de marzo de 2026, con agencias de la CFT que ahora buscan investigar posibles vínculos con flujos de fondos ilícitos. Los atacantes vaciaron monederos calientes y violaron sistemas internos a través de un dispositivo de empleado comprometido. Se accedió a más de 18.500 registros de compra, incluyendo direcciones de correo electrónico y metadatos de IP. La empresa ha restablecido los servicios y está cooperando con las autoridades. La liquidez y los mercados de criptomonedas experimentaron una caída temporal en el volumen de trading tras el incidente. Bitrefill señaló patrones de ataque similares a operaciones pasadas del Grupo Lazarus, aunque no se realizó ninguna atribución formal.

Bitrefill ha revelado los detalles de un ciberataque el 1 de marzo de 2026, mostrando que los atacantes vaciaron los fondos de sus monederos en línea y accedieron a partes de su infraestructura interna.

La empresa dijo que su investigación identificó múltiples similitudes con operaciones pasadas vinculadas al Grupo Lazarus. Sin embargo, se abstuvo de atribuir definitivamente el ataque.

La brecha se detectó después de que Bitrefill observara patrones de compra inusuales vinculados a su red de proveedores, junto con transferencias no autorizadas desde sus monederos. La empresa desconectó inmediatamente sus sistemas para contener el incidente.

El ataque comenzó con un dispositivo de empleado comprometido

Según Bitrefill, la intrusión se originó en una laptop de un empleado comprometida, que permitió a los atacantes extraer una credencial heredada.

Esa credencial proporcionó acceso a una instantánea que contenía secretos de producción, permitiendo a los atacantes elevar sus privilegios en partes de la infraestructura de la empresa.

Desde allí, los atacantes obtuvieron acceso a sistemas internos, segmentos de base de datos y ciertos monederos de criptomonedas. Esto llevó finalmente a movimientos de fondos y interrupciones operativas.

Los monederos calientes fueron vaciados al explotar los canales de suministro

Bitrefill dijo que los atacantes explotaron tanto su sistema de inventario de tarjetas regalo como su infraestructura de cripto.

Actividad de compra sospechosa reveló que las líneas de suministro estaban siendo abusadas, mientras que los monederos calientes se vaciaban simultáneamente y los fondos se transferían a direcciones controladas por el atacante.

La empresa no reveló el valor total de los fondos perdidos. Sin embargo, confirmó que la brecha afectó tanto sus operaciones de comercio electrónico como los saldos de los monederos.

18.500 registros accedidos, exposición limitada de datos

Los registros de la base de datos mostraron que aproximadamente 18.500 registros de compra fueron accedidos durante la brecha. Los datos expuestos incluían:

  • Direcciones de correo electrónico
  • Direcciones de pago en criptomonedas
  • Metadatos como direcciones IP

Para alrededor de 1,000 compras, se incluyeron los nombres de los clientes. Aunque estos datos estaban cifrados, Bitrefill indicó que los atacantes podrían haber accedido a las claves de cifrado y lo está tratando como potencialmente expuesto.

Los usuarios afectados en esta categoría ya han sido notificados.

La empresa enfatizó que no hay evidencia de una extracción completa de la base de datos, señalando que las consultas parecían limitadas y exploratorias.

Patrones vinculados a Lazarus detectados en la investigación

Bitrefill dijo que su investigación, basada en el análisis de malware, rastreo en cadena y infraestructura reutilizada como direcciones IP y de correo electrónico, reveló similitudes con tácticas conocidas utilizadas por el Grupo Lazarus y su unidad asociada, Bluenoroff.

Si bien la atribución sigue siendo cautelosa, la superposición en el modus operandi y las herramientas sugiere que el ataque podría alinearse con campañas anteriores dirigidas a empresas de criptomoneda.

Sistemas restaurados mientras las operaciones se normalizan

Tras el incidente, Bitrefill trabajó con empresas externas de ciberseguridad, analistas en la cadena y las autoridades para contener la brecha y restaurar las operaciones. La mayoría de los servicios, incluidos los pagos y la disponibilidad de productos, han vuelto a la normalidad desde entonces.

La empresa dijo que sigue siendo financieramente estable y absorberá las pérdidas desde el capital operativo. También detalló los pasos tomados tras el incidente, incluyendo:

  • Controles de acceso reforzados
  • Monitoreo y registro ampliados
  • Auditorías de seguridad adicionales y pruebas de penetración

Bitrefill indicó que los datos de los clientes no fueron el objetivo principal y, según los hallazgos actuales, los usuarios no necesitan tomar acciones específicas más allá de mantenerse alertas ante comunicaciones sospechosas.

Resumen final

  • Bitrefill confirmó un ataque cibernético que agotó los monederos en línea y expuso datos limitados de usuarios, con la investigación que apunta a similitudes con las tácticas del Grupo Lazarus.
  • El incidente destaca los riesgos de seguridad continuos en la infraestructura de cripto, especialmente de actores de amenazas sofisticados y vinculados a estados que aprovechan debilidades operativas.

Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información. Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.