Bitrefill accuse des pirates informatiques nord-coréens d'être à l'origine de la faille de sécurité du 1er mars et s'engage à couvrir les pertes

Bitrefill a publié un rapport complet sur une faille de sécurité survenue le 1er mars, et pense qu'elle est l'œuvre du groupe de pirates informatiques nord-coréen appelé le groupe Lazarus. 

Le groupe Lazarus est également responsable du plus important vol en un seul coup de l'histoire des cryptomonnaies, lorsqu'il a frappé Bybit au début de l'année dernière pour plus d'un milliard de dollars.

L'entreprise a fait preuve de transparence quant auxdent de l'incident, mais n'a pas divulgué le montant exact du vol. Bitrefill affirme que son réseau a été piraté via l'ordinateur portable compromis d'un employé, ce qui a entraîné la vidange de plusieurs portefeuilles numériques. 

Bitrefill a-t-il caché avoir été piraté ?  

Bitrefill a publié un rapport d'autopsie complet concernant une faille de sécurité qui a débuté le 1er mars. L'entreprise a formellement imputé l'attaque au groupe de pirates informatiques nord-coréen connu sous le nom de Lazarus Group ou Bluenoroff en raison des preuves qu'elle a examinées, basées sur le logiciel malveillant spécifique utilisé, le mode opératoire des attaquants, le tracsur la chaîne des fonds volés et la réutilisation d'adresses IP et de courriels spécifiques précédemment liés à des opérations nord-coréennes.

L'dent a débuté lorsqu'un ordinateur portable appartenant à un employé a été compromis et utilisé comme point d'entrée initial par les pirates informatiques pour accéder à undentancien. Cetdentleur a permis d'accéder à un instantané des systèmes de l'entreprise contenant des secrets de production. 

Grâce à ces informations confidentielles, le groupe Lazarus a pu étendre son accès à l'infrastructure de Bitrefill. Il a finalement atteint une partie de la base de données de l'entreprise et plusieurs portefeuilles de cryptomonnaies en ligne.

L'équipe de sécurité de Bitrefill a détecté la faille grâce à des « habitudes d'achat suspectes » chez ses fournisseurs. Les pirates exploitaient le stock de cartes-cadeaux et les chaînes d'approvisionnement de l'entreprise. 

Dans le même temps, l'entreprise s'est aperçue que des fonds étaient transférés de ses portefeuilles en ligne vers des portefeuilles contrôlés par les attaquants. 

En réponse, Bitrefill a immédiatement mis tous ses systèmes hors ligne pour contenir la menace, mais étant donné que le réseau de commerce électronique mondial de l'entreprise compte des milliers de produits et des dizaines de fournisseurs, le processus d'arrêt et de redémarrage sécurisé de l'infrastructure a pris plus de deux semaines. 

Quel montant a été volé lors de la faille de sécurité chez Bitrefill ?

L'enquête de Bitrefill a révélé que les pirates n'étaient pas particulièrement intéressés par le vol de données clients ; de toute façon, ils n'en auraient pas eu les moyens. L'entreprise a souligné que son modèle économique est conçu pour stocker très peu d'informations personnelles. Elle n'exige pas de documentation « Connaissance du client » (KYC) obligatoire pour la plupart des utilisateurs, et les données fournies pour une vérification plus approfondie sont gérées par un prestataire externe et n'étaient pas stockées sur les systèmes compromis.

Les attaquants ont toutefois accédé à environ 18 500 enregistrements d’achats. Ces enregistrements comprenaient les adresses électroniques des clients, les adresses de paiement en cryptomonnaie et des métadonnées telles que les adresses IP. 

Environ 1 000 clients de Bitrefill , qui devaient fournir le nom de certains produits, ont vu leurs données cryptées. Cependant, comme les pirates ont probablement accédé aux clés de chiffrement, Bitrefill considère ces données comme potentiellement compromises et a déjà contacté par courriel les personnes concernées.

Concernant les pertes financières, Bitrefill a annoncé qu'elle en absorberait l'impact. Bien que les portefeuilles en ligne aient été vidés, la société a déclaré qu'elle restait bien financée et qu'elle était rentable depuis plusieurs années. Les soldes de tous les utilisateurs sont préservés et n'ont pas été affectés. 

Bitrefill a collaboré avec plusieurs entités de sécurité de renom, dont Zeroshadow, SEAL Org et l'équipe Recoveris, afin de retracer le parcours des fonds volés sur la blockchain. Ces dernières ont également participé au nettoyage des serveurs de l'entreprise suite à une enquête forensique. 

Depuis, Bitrefill a renforcé ses contrôles d'accès internes afin d'empêcher qu'une seule faille de sécurité n'entraîne une intrusion totale dans le système. L'entreprise a également amélioré ses procédures d'arrêt pour réagir plus rapidement aux requêtes suspectes de sa base de données.

L'entreprise a également indiqué qu'elle continue de mener des tests d'intrusion approfondis avec des experts externes afin de déceler toute vulnérabilité restante. Actuellement, la quasi-totalité des services, y compris les paiements, le réapprovisionnement des stocks et les fonctionnalités des comptes, fonctionnent à nouveau normalement.