Платёжный сервис Bitrefill стал очередной жертвой хакеров: компания заявила, что за атакой 1 марта 2026 года, в ходе которой были вскрыты 18500 записей о покупках и опустошены горячие криптокошельки, стоят злоумышленники из северокорейской группы Lazarus. Криптоплатёжный сервис и магазин подарочных карт Bitrefill зафиксировал подозрительную активность у ряда поставщиков и на своих горячих кошельках. Позже компания выяснила, что неизвестные уже получили доступ к части её инфраструктуры и начали выводить средства на подконтрольные адреса. Инцидент начался с компрометации ноутбука сотрудника, где хранились устаревшие учётные данные; через них хакеры смогли добраться до «секретным данным компании» и расширить доступ к базам данных и кошелькам. В своём заявлении Bitrefill признала, что это первая серьёзная атака за более чем десять лет работы, но подчеркнула, что бизнес остаётся прибыльным и финансово устойчивым. Компания заверила, что все убытки будут покрыты за счёт операционного капитала, без перекладывания потерь на клиентов.
По итогам внутреннего расследования Bitrefill заявила, что в атаке «прослеживаются характерные черты» Lazarus/Bluenoroff — известной хакерской группировки, связанной с КНДР. Анализ вредоносного ПО, ончейн-трассировка средств, а также повторное использование IP‑адресов и email инфраструктуры показали заметное сходство с предыдущими кампаниями против криптопроектов. Ранее Lazarus уже фигурировала в громких делах: взлом Ronin Network (Axie Infinity) на сотни миллионов долларов, атаки на мост Horizon от Harmony, кошелёк Atomic Wallet, а также ряд централизованных бирж и сервисов. При этом Bitrefill отмечает, что сохраняет осторожность в официальной атрибуции: совпадения по технике и инфраструктуре указывают на Lazarus, но стопроцентное доказательство принадлежности атаки именно этой группе традиционно затруднено.
Читайте также
Aliens.gov: зачем Белый дом зарегистрировал «инопланетный» домен и раскроет ли Трамп секретные файлы
Какие данные клиентов утекли
По данным логов, злоумышленники получили доступ примерно к 18500 записям о покупках — это небольшая часть всей базы. В этих записях содержались:
- электронные адреса пользователей;
- криптовалютные адреса, использованные для оплаты;
- технические метаданные, включая IP‑адреса.
Около 1000 записей включали зашифрованные имена или наименования продуктов. Bitrefill рассматривает их как потенциально скомпрометированные. Пострадавшим отправлены персональные уведомления по электронной почте, однако компания подчёркивает, что основной целью хакеров, судя по активности, были именно криптоактивы и запасы подарочных карт, а не массовая выгрузка персональных данных. Bitrefill не требует от пользователей срочных действий, но рекомендует с осторожностью относиться к неожиданным письмам и сообщениям, якобы связанным с Bitrefill или криптовалютой, чтобы избежать фишинга и социальной инженерии.
В ответ на атаку Bitrefill уже объявила о ряде шагов по усилению кибербезопасности. Среди них:
- проведение расширенных тестов на проникновение с внешними экспертами;
- ужесточение внутреннего контроля доступа и политики работы с учётными данными;
- улучшение логирования и мониторинга для более быстрого обнаружения аномалий;
- обновление процедур реагирования на инциденты и автоматизированных сценариев «аварийного отключения» систем.
«Столкнуться с изощрённой атакой — это очень неприятно. Но мы выжили. Мы продолжим прилагать максимум усилий, чтобы и дальше заслуживать доверие наших клиентов», — заявила компания в официальном комментарии. На момент публикации большая часть систем Bitrefill — платежи, хранилище и учётные записи — уже работает в штатном режиме, а продажи возвращаются к нормальным объёмам.
Меню 
Знания 
События 
Новости 
Курсы валют