Lazarus-Gruppe schlägt erneut zu! Laptop eines Bitrefill-Mitarbeiters gehackt, Gelder aus Hot Wallet gestohlen

Kryptowährungs-E-Commerce-Plattform Bitrefill gab am 18. März auf X bekannt, dass sie am 1. März Opfer eines Cyberangriffs wurde. Die Angriffsmethoden stimmen stark mit den bekannten Merkmalen der nordkoreanischen Hackergruppe Lazarus Group überein. Die Hacker kompromittierten einen Mitarbeiter-Laptop, um Gelder aus dem Hot Wallet zu stehlen, und erhielten Zugriff auf 18.500 Kaufaufzeichnungen.

Angriffsweg: Von Mitarbeitersystemen zum Hot Wallet

Bitrefill enthüllte, dass der Angriff mehrere Ebenen hatte: Zunächst wurde das Mitarbeitersystem mit Schadsoftware infiziert, das als Sprungbrett diente, um seitlich in das Hot Wallet des Unternehmens einzudringen. Dieser „Endgerät als Einstiegspunkt, Kernvermögen als Ziel“-Ansatz entspricht den bekannten Angriffsmethoden von Lazarus Group und ihrer verbundenen Organisation BlueNoroff Group.

Bitrefill vermutet, dass BlueNoroff Group an dem Vorfall beteiligt war oder sogar der einzige Angreifer. Im Datenzugriffsbereich führte der Angreifer begrenzte Abfragen in der Kaufdatenbank durch, hauptsächlich um „zu erkunden, welche Vermögenswerte, einschließlich Kryptowährungen und Geschenkkarten, gestohlen werden können“. Bitrefill betont, dass keine Beweise vorliegen, dass die gesamte Datenbank extrahiert wurde; das Motiv war primär finanzieller Diebstahl.

Kundenbetroffenheit: Begrenzte Datenlecks, vollständiger Service wiederhergestellt

Der Angreifer hatte Zugriff auf 18.500 Kaufaufzeichnungen. Bitrefill erklärte, dass dadurch „begrenzte Kundeninformationen“ offengelegt wurden, aber keine Hinweise auf eine groß angelegte Datenbankextraktion vorliegen. Das Unternehmen gab öffentlich bekannt: „Fast alle Dienste sind wieder normal – Zahlungen, Lagerbestände und Konten, der Verkaufsvolumen kehren zum Normalzustand zurück.“

Sicherheitsmaßnahmen: Vier Cybersicherheitsfirmen eingreifen, umfassende Verteidigungssysteme

Nach dem Vorfall ergriff Bitrefill mehrere Maßnahmen:

Sofortige Blockade: Sofortige Abschaltung der betroffenen Systeme, um die Ausbreitung des Angriffs zu verhindern

Rechtsverfolgung: Kontaktaufnahme mit den zuständigen Strafverfolgungsbehörden

Drittanbieter-Sicherheitskooperation: Zusammenarbeit mit Security Alliance, FearsOff Security, Recoveris.io und zeroShadow bei Untersuchungen

Systemverstärkung: Umsetzung der Empfehlungen von Sicherheitsexperten, Verbesserung der Zugriffskontrollen und Überwachungssysteme, um Erkennungs- und Reaktionszeiten zu verkürzen

Bitrefill gab an, dass sich die Cybersicherheitsmaßnahmen seit dem Vorfall „deutlich verbessert“ haben.

Hintergrund Lazarus Group: Von Bybit 1,4 Mrd. USD bis Bitrefill

Lazarus Group ist eine der zerstörerischsten Bedrohungsorganisationen in der Kryptowährungsbranche und steht in enger Verbindung zur nordkoreanischen Regierung. Im Februar 2025 wurde Lazarus Group beschuldigt, den größten einzelnen Raubüberfall in der Geschichte der Kryptowährungen verübt zu haben, bei dem sie 1,4 Milliarden US-Dollar an digitalen Vermögenswerten von der Börse Bybit stahlen – die bislang größte Hackerattacke in der Kryptowelt.

Bitrefills Vorfall ist die neueste Attacke, die Lazarus Group oder ihre verbundenen Organisationen nach dem Angriff auf Bybit zugeschrieben wird. Es zeigt erneut, dass die Organisation weiterhin hauptsächlich Mitarbeitersysteme von Krypto-Unternehmen als Einstiegspunkt nutzt.

Häufig gestellte Fragen

Was ist die Kernmethode des Angriffs bei Bitrefill?

Der Angriff fand am 1. März statt. Die Hacker nutzten Schadsoftware, On-Chain-Tracking und wiederverwendete IPs sowie E-Mail-Infrastrukturen, um einen Mitarbeiters Laptop zu kompromittieren, Zugriff auf das Hot Wallet zu erlangen, Gelder zu stehlen und 18.500 Kaufaufzeichnungen begrenzt abzufragen.

Warum weist Bitrefill Lazarus Group als Täter aus?

Bitrefill erklärt, dass die eingesetzten Methoden – einschließlich Schadsoftware-Deployment, On-Chain-Tracking und Infrastruktur-Wiederverwendung – den bekannten Angriffsmustern von Lazarus Group stark entsprechen. Zudem wird vermutet, dass die eng mit Lazarus verbundene BlueNoroff Group ebenfalls beteiligt sein könnte oder der alleinige Täter ist.

Sind die persönlichen Daten der Bitrefill-Nutzer großflächig offengelegt worden?

Bitrefill betont, dass keine Beweise vorliegen, dass die gesamte Datenbank extrahiert wurde. Die Hacker führten nur begrenzte Abfragen durch, um finanzielle Vermögenswerte zu identifizieren. Dennoch besteht bei den 18.500 Kaufaufzeichnungen ein Risiko für begrenzte Kundeninformationen, weshalb Nutzer auf ungewöhnliche Aktivitäten achten sollten.