Bitrefill stützt die Zuordnung des Angriffs auf mehrere übereinstimmende Indikatoren. „Auf Grundlage der bei der Untersuchung beobachteten Anhaltspunkte – darunter die Vorgehensweise, die eingesetzte Malware, die Nachverfolgung auf der Blockchain sowie wiederverwendete IP- und E-Mail-Adressen – stellen wir viele Ähnlichkeiten zwischen diesem Angriff und früheren Cyberangriffen der nordkoreanischen Lazarus-/Bluenoroff-Gruppe gegen andere Unternehmen der Kryptobranche fest“, heißt es in einer Stellungnahme des Unternehmens.

Aufmerksam wurde Bitrefill auf den Vorfall durch auffällige Einkaufsmuster bei Lieferanten, die Ausnutzung von Geschenkkarten-Beständen und Lieferketten sowie das Leerräumen einiger „Hot Wallets“. Die anschließende Untersuchung ergab, dass der Angriff von einem kompromittierten Laptop eines Mitarbeiters ausging.

Die Angreifer entwendeten alte Zugangsdaten und nutzten sie, um auf einen Snapshot mit Produktionsgeheimnissen zuzugreifen. Von dort aus weiteten sie ihren Zugriff auf weite Teile der Bitrefill-Infrastruktur aus, darunter Teile der Datenbank und einige Krypto-Wallets.

Nach Angaben des Unternehmens wurden rund 18.500 Kaufdatensätze mit E-Mail-Adressen, IP-Adressen und Krypto-Zahlungsadressen von Kunden offengelegt; bei 1.000 Käufen waren zusätzlich Kundennamen betroffen. Diese Daten liegen zwar verschlüsselt vor, doch Bitrefill weist darauf hin, dass die Angreifer möglicherweise auch die Entschlüsselungsschlüssel erlangt haben. Letztlich geht das Unternehmen davon aus, dass es den Angreifern um Kryptowährungen und Geschenkkarten-Bestände ging, nicht um Kundendaten.

Bluenoroff, auch als APT38 bekannt, ist ein Teilbereich der Lazarus-Gruppe, der mindestens seit 2014 aktiv ist. Der Akteur nimmt typischerweise Finanzorganisationen ins Visier, zuletzt verstärkt die Kryptobranche, mit dem Ziel des Diebstahls von Kryptowährungen.

Bitrefill bezeichnet den Vorfall als den schwersten Cyberangriff seiner zehnjährigen Geschichte, gibt aber an, ihn mit minimalen Verlusten überstanden zu haben, die aus dem eigenen Kapital gedeckt werden. Parallel weitet das Unternehmen Sicherheitsüberprüfungen und Penetrationstests aus, verschärft Zugriffskontrollen, verbessert Protokollierung und Überwachung und überarbeitet automatische Abschaltmechanismen.

Die meisten Dienste arbeiten den Angaben zufolge inzwischen wieder normal. Kunden müssen demnach nichts weiter unternehmen, sollten eingehende Mitteilungen jedoch mit besonderer Vorsicht behandeln.