Accueil
Actualités
Détails

Bitrefill confirme une cyberattaque avec des motifs similaires à ceux du groupe Lazarus, les wallets chauds vidés

iconAMBCrypto
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRésumé

expand icon
Bitrefill a confirmé une cyberattaque le 1er mars 2026, les agences CFT cherchant désormais à investiguer d'éventuels liens avec des flux de fonds illicites. Les attaquants ont vidé les hot wallets et compromis les systèmes internes via un appareil employé compromis. Plus de 18 500 enregistrements d'achat, incluant des adresses e-mail et des métadonnées IP, ont été accédés. L'entreprise a rétabli ses services et coopère avec les autorités. La liquidité et les marchés de crypto-monnaies ont connu une baisse temporaire du volume de trading après l'incident. Bitrefill a noté des schémas d'attaque similaires à ceux d'opérations passées du groupe Lazarus, bien qu'aucune attribution formelle n'ait été faite.

Bitrefill a révélé les détails d'une cyberattaque du 1er mars 2026, indiquant que les attaquants ont vidé les fonds de ses wallets chauds et accédé à certaines parties de son infrastructure interne.

L'entreprise a déclaré que son investigation a identifié plusieurs similitudes avec des opérations passées liées au groupe Lazarus. Toutefois, elle s'est abstenue d'attribuer définitivement l'attaque.

La violation a été détectée après que Bitrefill a observé des schémas d'achat inhabituels liés à son réseau de fournisseurs, ainsi que des transferts non autorisés depuis ses wallets. L'entreprise a immédiatement mis hors ligne ses systèmes pour contenir l'incident.

L'attaque a commencé avec un appareil employé compromis

Selon Bitrefill, l'intrusion provient d'un ordinateur portable d'un employé compromis, qui a permis aux attaquants d'extraire une ancienne identité d'accès.

Ces identifiants ont fourni un accès à une capture contenant des secrets de production, permettant aux attaquants d'escalader leurs privilèges sur certaines parties de l'infrastructure de l'entreprise.

De là, les attaquants ont obtenu l'accès aux systèmes internes, aux segments de base de données et à certains wallets de cryptomonnaies. Cela a finalement entraîné des mouvements de fonds et des perturbations opérationnelles.

Les hot wallets ont été vidés après exploitation des canaux d'approvisionnement

Bitrefill a déclaré que les attaquants ont exploité à la fois son système de stock de cartes-cadeaux et son infrastructure crypto.

Des activités d'achat suspectes ont révélé que les chaînes d'approvisionnement étaient abusées, tandis que les wallets chauds étaient simultanément vidés et les fonds transférés vers des adresses contrôlées par l'attaquant.

L'entreprise n'a pas révélé la valeur totale des fonds perdus. Toutefois, elle a confirmé que la violation a affecté à la fois ses opérations de commerce électronique et les soldes de ses wallets.

18 500 enregistrements consultés, exposition limitée des données

Les journaux de la base de données ont révélé qu'environ 18 500 enregistrements d'achat ont été accessibles lors de la violation. Les données exposées incluaient :

  • Adresses e-mail
  • Adresses de paiement crypto
  • Métadonnées telles que les adresses IP

Pour environ 1 000 achats, les noms des clients ont été inclus. Bien que ces données aient été chiffrées, Bitrefill a déclaré que les attaquants pourraient avoir accédé aux clés de chiffrement et traite cette situation comme potentiellement exposée.

Les utilisateurs concernés dans cette catégorie ont déjà été notifiés.

L'entreprise a souligné qu'il n'y a aucune preuve d'une extraction complète de la base de données, notant que les requêtes semblaient limitées et exploratoires.

Schémas liés à Lazarus signalés dans l'enquête

Bitrefill a indiqué que son investigation — basée sur l'analyse de logiciels malveillants, le traçage sur chaîne et les infrastructures réutilisées telles que les adresses IP et e-mail — a révélé des similitudes avec les tactiques connues du groupe Lazarus et de son unité associée, Bluenoroff.

Bien que l'attribution reste prudente, le chevauchement des méthodes et des outils suggère que l'attaque pourrait être en ligne avec les campagnes précédentes ciblant des entreprises de crypto-monnaies.

Les systèmes ont été restaurés alors que les opérations se normalisent

Suite à l'incident, Bitrefill a collaboré avec des entreprises externes de cybersécurité, des analystes sur chaîne et les autorités judiciaires pour contenir la violation et rétablir les opérations. La plupart des services, y compris les paiements et la disponibilité des produits, sont désormais revenus à la normale.

L'entreprise a déclaré qu'elle reste financièrement stable et absorbera les pertes à partir du capital opérationnel. Elle a également décrit les mesures prises après l'incident, notamment :

  • Contrôles d'accès renforcés
  • Surveillance et journalisation étendues
  • Audits de sécurité supplémentaires et tests d'intrusion

Bitrefill a indiqué que les données clients n'étaient pas la cible principale et, selon les constatations actuelles, les utilisateurs n'ont pas besoin de prendre d'action spécifique autre que de rester vigilants face aux communications suspectes.

Résumé final

  • Bitrefill a confirmé une cyberattaque qui a vidé les hot wallets et exposé des données utilisateurs limitées, l'enquête révélant des similitudes avec les tactiques du groupe Lazarus.
  • L'incident met en lumière les risques de sécurité persistants dans l'infrastructure crypto, notamment provenant d'acteurs malveillants sophistiqués liés à des États ciblant les faiblesses opérationnelles.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.