La plateforme d’e-commerce spécialisée dans les cartes-cadeaux, Bitrefill, a subi une attaque cybernétique au début du mois, probablement orchestrée par des hackers nord-coréens liés au groupe BlueNoroff.
Au cours des investigations, des indicateurs semblables à ceux détectés lors d’attaques antérieures, attribuées à ce groupe de menaces, ont été observés. Cela inclut des tactiques, des malwares, ainsi que des adresses IP et courriels correspondants.
Dans un communiqué, Bitrefill déclare : “À partir des éléments observés pendant l’enquête – incluant le modus operandi, le malware utilisé, la traçabilité on-chain et les adresses IP + courriels réutilisés – de nombreuses similitudes apparaissent avec des cyberattaques passées menées par le Lazarus/BlueNoroff contre d’autres entreprises du secteur crypto. »
Bitrefill est un acteur de taille moyenne dans le domaine de l’e-commerce, permettant aux utilisateurs d’acheter des cartes-cadeaux en cryptomonnaie dans plus de 150 pays. Ces cartes peuvent être utilisées pour acquérir divers produits et services, allant des vêtements aux produits électroniques.
La plateforme soutient plus de 600 opérateurs mobiles et un grand nombre de marques à l’échelle mondiale.
Le 1er mars, Bitrefill a annoncé des problèmes techniques affectant l’accès à son site et à son application. Le lendemain, la société a révélé avoir identifié un problème de sécurité et a mis hors ligne l’ensemble de ses services.
Malgré le fait que les soldes des utilisateurs n’aient pas été impactés, la restauration progressive des services se poursuit.
La faille a été mise au jour suite à l’observation de comportements d’achat suspects de la part de fournisseurs, d’une exploitation des stocks de cartes-cadeaux, ainsi que d’un vidage de certains “hot” wallets.
L’enquête a révélé que l’attaque provenait d’un ordinateur portable d’un employé compromis. Les agresseurs ont récupéré des identifiants anciens pour accéder à des informations sensibles, élargissant leur accès à l’infrastructure de Bitrefill, y compris des parties de la base de données et certains wallets.
Environ 18 500 enregistrements d’achats contenant des adresses électroniques, IP et des adresses de paiement en cryptomonnaie ont été exposés. Pour 1 000 achats, des noms de clients ont également été dévoilés.
Bien que ces données soient stockées sous une forme chiffrée, Bitrefill mentionne que les attaquants pourraient avoir réussi à obtenir les clés de déchiffrement.
La société considère que cette cyberattaque est la plus grave qu’elle ait subie en dix ans d’existence, mais se réjouit d’avoir limité ses pertes grâce à ses fonds propres.
Bitrefill hypothétique que les attaquants visaient principalement les cryptomonnaies et l’inventaire de cartes-cadeaux, plutôt que les informations des clients.
BlueNoroff, également connu sous le nom d’APT38, est une entité du groupe Lazarus active depuis au moins 2014, ciblant principalement des organisations financières, avec un intérêt croissant pour le secteur des cryptomonnaies.
Suite à cet incident, Bitrefill prévoit de renforcer ses revues de sécurité, effectuer des tests de pénétration supplémentaires, améliorer les contrôles d’accès, ainsi que les mécanismes de journalisation et de surveillance. La majorité de ses services sont à présent de nouveau opérationnels, et les clients doivent simplement être vigilants face aux communications entrantes.