Bitrefill Divulga Ataque Cibernético, Aponta Grupo Lazarus da Coreia do Norte

A plataforma de comércio de criptomoedas Bitrefill afirmou ter sido alvo de um ciberataque no início deste mês, que resultou no roubo de fundos e na exposição limitada de dados de clientes, com indicadores apontando para o grupo Lazarus, ligado à Coreia do Norte, como provável perpetrador.

A violação, que começou em 1 de março, teve origem num portátil de um funcionário comprometido, de acordo com o relatório de incidentes da empresa.

Os atacantes conseguiram extrair credenciais antigas associadas aos sistemas de produção, permitindo-lhes escalar o acesso na infraestrutura da Bitrefill, incluindo segmentos do seu banco de dados interno e certas carteiras de criptomoedas quentes.

A Bitrefill afirmou que os atacantes esvaziaram uma quantia não divulgada de fundos das suas carteiras quentes, além de explorar os sistemas de inventário de cartões-presente para fazer compras suspeitas junto de fornecedores. A empresa não especificou o impacto financeiro total, mas afirmou que assumirá as perdas usando o capital operacional.

A intrusão foi detectada inicialmente através de padrões de compra irregulares e anomalias na atividade dos fornecedores.

Em resposta, a Bitrefill colocou temporariamente os seus sistemas offline para conter a violação em todas as operações globais. A empresa disse que os serviços, incluindo pagamentos e acesso às contas, já retornaram aos níveis normais.

Como parte do ataque, aproximadamente 18.500 registros de compras foram acessados. Os dados expostos incluem endereços de email, endereços de pagamento de criptomoedas e metadados como endereços IP.

Cerca de 1.000 desses registros envolviam nomes de clientes encriptados, que estão sendo considerados potencialmente expostos devido à possibilidade de os atacantes terem acessado as chaves de encriptação. A Bitrefill afirmou que notificou diretamente os usuários afetados.

Apesar da violação, a empresa destacou que armazena dados pessoais mínimos e que a maioria das transações não requer verificação obrigatória de identidade (KYC). Qualquer informação relacionada ao KYC é gerida por fornecedores externos e não é armazenada nos sistemas da Bitrefill. A empresa acrescentou que não há evidências de que toda a sua base de dados tenha sido exfiltrada ou que os dados dos clientes tenham sido o principal alvo.

“Com base na nossa investigação e nos registos, não temos motivos para pensar que os dados dos clientes foram o objetivo,” afirmou a empresa, observando que os atacantes parecem ter realizado consultas limitadas, consistentes com uma sondagem por ativos valiosos, como holdings de criptomoedas e inventário de cartões-presente.

Grupo Lazarus da Coreia do Norte envolvido

A Bitrefill citou vários indicadores que ligam o ataque ao grupo Lazarus, incluindo semelhanças no malware, infraestrutura reutilizada como endereços IP e contas de email, e padrões de transação na blockchain.

O grupo, frequentemente associado à Coreia do Norte, tem sido ligado a alguns dos maiores roubos de criptomoedas nos últimos anos, através do seu subgrupo especializado, Bluenoroff.

Empresas de cibersegurança, incluindo zeroShadow, SEAL911 e RecoverisTeam, assistiram na resposta e investigação, juntamente com analistas de blockchain e forças de segurança. A empresa afirmou que está a implementar medidas de segurança adicionais, incluindo sistemas de monitorização expandidos e controles internos, para evitar incidentes semelhantes.

O ataque evidencia as preocupações contínuas sobre ameaças cibernéticas patrocinadas por estados no setor de ativos digitais.

De acordo com a empresa de análise de blockchain Chainalysis, grupos ligados à Coreia do Norte foram responsáveis por mais de 2 mil milhões de dólares em roubos de criptomoedas em 2025, representando uma parte significativa da atividade ilícita no espaço.

A Bitrefill afirmou que as operações estabilizaram após o incidente e expressou confiança na sua recuperação, observando que a atividade dos clientes e os volumes de vendas voltaram aos níveis habituais.