Die Analyse des Sicherheitsvorfalls bei Bitrefill offenbart ein klassisches Angriffsschema: Zunächst kompromittierten die Hacker ein Mitarbeiter-Laptop, von dem sie veraltete Zugangsdaten extrahierten. Diese Credentials ermöglichten ihnen Zugriff auf einen Snapshot mit Produktionsgeheimnissen. Von dort aus eskalierte die Lazarus-Gruppe ihre Berechtigungen zur gesamten IT-Infrastruktur – einschließlich Teilen der Datenbank und einzelner Kryptowallet-Bestände.
Das Unternehmen bemerkte den Verstoß erst durch verdächtige Kaufmuster bei bestimmten Lieferanten, was darauf hindeutete, dass Gutschein-Bestände und Lieferketten ausgebeutet wurden. Die Angreifer fokussierten sich dabei gezielt auf die Diebstahl von Private Keys und Zugangsdaten – also Informationen, die volle Kontrolle über digitale Vermögenswerte gewähren. Mehrere Krypto-Wallets wurden geleert und Mittel auf von Hackern kontrollierte Konten übertragen. Bitrefill teilte nicht mit, wie viel gestohlen wurde und ob die Verluste teilweise zurückgeholt wurden.
Das Unternehmen beabsichtigt, die Ausfälle aus seinem operativen Kapital zu kompensieren. Nach ihrer Einschätzung zielten die Angreifer nicht auf die komplette Kundendatenbank ab, sondern führten “begrenzte Abfragen durch, die einem Verständnis des zu stohlenden Bestands gleichkamen”.
Dieser Vorfall reiht sich in eine besorgniserregende Serie von Diebstählen durch nordkoreanische Akteure ein. Nach Angaben von Chainalysis haben von Nordkoreas Regierung unterstützte Hacking-Gruppen 2024 insgesamt 1,3 Milliarden Dollar Kryptowährungen in 47 Fällen gestohlen. Im gesamten Jahr 2024 überschritt das Volumen zwei Milliarden Dollar. Besonders hervorzuheben ist der Diebstahl von 1,5 Milliarden Dollar von der Dubai-basierten Plattform Bybit im Februar, sowie der Raub von 30 Millionen Dollar von Upbit, der südkoreanischen Behörden zufolge ebenfalls Nordkorea zuzurechnen ist.
Seit Chainalysis 2022 mit der Verfolgung begann, haben nordkoreanische Hacker insgesamt 6,8 Milliarden Dollar in Kryptowährungen gestohlen. Die Vereinten Nationen geben an, dass nordkoreanische Akteure über einen Fünfjahreszeitraum etwa drei Milliarden Dollar erbeutet haben. Im November 2023 gelang es dem US-Justizministerium, über 15 Millionen Dollar aus vier separaten Lazarus-Diebstählen 2023 beschlagnahmt zu ergreifen – ein seltener Erfolg im Kampf gegen die gut organisierten Krypto-Angreifer.
Die anhaltende Bedrohung durch die Lazarus-Gruppe unterstreicht die dringende Notwendigkeit verstärkter Sicherheitsmaßnahmen – insbesondere Zwei-Faktor-Authentifizierung, privilegiertes Zugangsmanagement und kontinuierliche Überwachung von Wallet-Aktivitäten.