Serangan Siber pada Bitrefill
Bitrefill, sebuah platform yang memungkinkan pengguna menukar cryptocurrency untuk kartu hadiah dan kredit layanan telepon, mengungkapkan pada hari Selasa bahwa mereka menjadi target serangan siber pada 1 Maret. Menurut perusahaan, serangan tersebut dimulai dengan laptop karyawan yang terkompromi, kemudian meluas ke infrastruktur yang lebih luas setelah para penyerang berhasil mengekstrak kredensial lama yang terkait dengan snapshot yang berisi rahasia produksi.
Detail Serangan dan Penanganan Insiden
Dalam laporan insiden yang diposting di X, perusahaan menjelaskan bahwa para penyerang berpindah dari akses awal ke bagian-bagian basis data dan dompet cryptocurrency tertentu, sambil juga mengeksploitasi inventaris kartu hadiah dan jalur pembelian dari pemasok. Bitrefill menyatakan bahwa mereka mendeteksi pelanggaran setelah melihat pola pembelian dari pemasok yang mencurigakan. Setelah konfirmasi, mereka mematikan semua sistem sebagai bagian dari penanganan insiden.
Sebelumnya, pada 1 Maret, Bitrefill mengungkapkan bahwa mereka menghadapi “masalah teknis” dan kemudian “masalah keamanan,” yang menyebabkan penutupan semua layanan. Hari Selasa adalah pertama kalinya Bitrefill memberikan rincian lengkap tentang serangan tersebut dan kemungkinan pelakunya. Perusahaan menyatakan bahwa penyelidikannya menemukan beberapa indikator yang mirip dengan serangan sebelumnya yang dilakukan oleh kelompok peretas yang didukung negara Korea Utara, seperti Lazarus dan Bluenoroff. Indikator tersebut termasuk pola malware, pelacakan on-chain, dan infrastruktur yang digunakan kembali.
Kerugian dan Tindakan Selanjutnya
Bitrefill mengungkapkan bahwa mereka telah bekerja sama dengan responden insiden, analis on-chain, dan penegak hukum seiring berlanjutnya penyelidikan. Mengenai dampak pada pelanggan, Bitrefill menyatakan bahwa log menunjukkan tidak ada bukti eksfiltrasi basis data secara penuh, tetapi subset catatan telah diakses. Sekitar 18.500 catatan pembelian terpengaruh, termasuk informasi terbatas seperti alamat email, alamat pembayaran cryptocurrency, dan metadata termasuk alamat IP. Untuk sekitar 1.000 pembelian yang memerlukan nama pelanggan, Bitrefill menyatakan bahwa bidang tersebut telah dienkripsi, tetapi memperlakukannya sebagai mungkin diakses karena para penyerang mungkin telah memperoleh kunci yang relevan. Perusahaan juga menyatakan bahwa pengguna dalam subset tersebut telah diberitahu secara langsung melalui email.
Pernyataan Bitrefill dan Tindakan Keamanan
Bitrefill menegaskan bahwa mereka tidak memerlukan KYC yang wajib dan menyimpan informasi verifikasi dengan penyedia eksternal, bukan di cadangan internal. Berdasarkan temuan saat ini, perusahaan tidak percaya pelanggan perlu mengambil tindakan khusus, tetapi menyarankan kewaspadaan terhadap komunikasi terkait Bitrefill atau cryptocurrency yang tidak terduga. Bitrefill juga menyatakan bahwa sebagian besar operasi kini kembali normal, termasuk pembayaran, stok, dan akun, dan bahwa kerugian akan diserap melalui modal operasional. Selain itu, perusahaan terus melakukan tinjauan keamanan eksternal dan pengujian penetrasi, memperketat kontrol akses internal, serta meningkatkan logging, pemantauan, dan otomatisasi respons insiden.
Hubungan dengan Kelompok Peretas Korea Utara
Kelompok peretas Korea Utara telah dihubungkan oleh pihak berwenang dengan banyak perampokan terkenal di industri cryptocurrency, termasuk peretasan bursa Bybit senilai $1,4 miliar tahun lalu, dan peretasan jaringan game Ronin senilai $622 juta yang terkait dengan permainan crypto Axie Infinity pada tahun 2022. Tahun lalu, peretas yang terkait dengan Korea Utara dilaporkan mencuri lebih dari $2 miliar cryptocurrency, menurut laporan dari Chainalysis.
