Grupo Lazarus ataca novamente! Computador portátil de funcionário da Bitrefill foi invadido, fundos da carteira quente foram roubados

A plataforma de comércio de criptomoedas Bitrefill revelou no dia 18 de março, na X, que foi alvo de um ataque cibernético ocorrido em 1 de março, cuja técnica de invasão corresponde altamente às características conhecidas do grupo de hackers norte-coreano Lazarus Group. Os hackers invadiram o computador portátil de um funcionário, conseguindo assim roubar fundos da carteira quente da empresa e obter acesso a 18.500 registros de compras.

Caminho do ataque: invasão lateral do computador do funcionário até a carteira quente

A divulgação da Bitrefill revelou que o ataque seguiu uma rota de infiltração em múltiplas camadas: inicialmente, os hackers usaram malware para invadir o dispositivo do funcionário, usando-o como ponto de apoio para penetrar lateralmente na carteira quente da empresa. Essa estratégia de “dispositivo final como ponto de entrada, ativos centrais como alvo” é compatível com as táticas conhecidas do Lazarus Group e de sua organização relacionada, o BlueNoroff Group.

A Bitrefill indica que o BlueNoroff Group pode ter sido o participante do incidente, ou até mesmo o único atacante. No nível de acesso aos dados, os invasores realizaram consultas limitadas ao banco de dados de registros de compras, com o objetivo principal de “explorar ativos que possam ser roubados, incluindo criptomoedas e estoques de cartões-presente”. A empresa enfatiza que não há evidências de que os hackers tenham extraído toda a base de dados, e que a motivação do ataque foi principalmente financeira.

Impacto aos clientes: vazamento limitado de informações, serviço totalmente restabelecido

Os hackers acessaram 18.500 registros de compras, e a Bitrefill afirma que isso pode ter causado um “vazamento limitado de informações de clientes”, mas não há sinais de extração em larga escala do banco de dados. A empresa declarou publicamente: “Quase todos os serviços já estão normalizados — pagamentos, estoques e contas, e o volume de vendas voltou aos níveis normais.”

Resposta de segurança: quatro empresas de cibersegurança envolvidas, sistema de defesa completamente atualizado

Após o incidente, a Bitrefill adotou várias medidas de resposta:

• Bloqueio imediato: encerramento dos sistemas relacionados para conter a propagação do ataque.
• Notificação às autoridades: contato com os órgãos de aplicação da lei.
• Parceria com terceiros de segurança cibernética: colaboração com as empresas Security Alliance, FearsOff Security, Recoveris.io e zeroShadow para investigação.
• Fortalecimento do sistema: implementação das recomendações dos especialistas em segurança, reforço do controle de acessos internos e melhorias nos mecanismos de monitoramento para reduzir o tempo de detecção e resposta.

A Bitrefill afirma que, desde o incidente, suas medidas de segurança cibernética foram “significativamente aprimoradas”.

Contexto do Lazarus Group: de 1,4 bilhões na Bybit a Bitrefill

O Lazarus Group é uma das organizações de ameaça mais destrutivas no setor de criptomoedas atualmente, com forte ligação ao governo norte-coreano. Em fevereiro de 2025, o Lazarus Group foi acusado de orquestrar o maior roubo de criptomoedas da história, tendo furtado até 1,4 bilhões de dólares em ativos digitais da exchange Bybit, sendo o maior ataque hacker de criptomoedas já registrado.

Este incidente na Bitrefill é a mais recente ação atribuída ao Lazarus Group ou às suas organizações relacionadas, após o ataque à Bybit, demonstrando que o grupo continua focando na infiltração por meio de dispositivos de funcionários de empresas de criptomoedas.

Perguntas frequentes

Qual é a principal tática do ataque à Bitrefill?
O ataque ocorreu em 1 de março, com hackers usando malware, rastreamento na blockchain e infraestrutura reutilizada de IPs e e-mails para invadir o computador portátil de um funcionário, obter acesso à carteira quente, roubar fundos e realizar consultas limitadas a 18.500 registros de compras.

Por que a Bitrefill atribui o ataque ao Lazarus Group?
A empresa aponta que as táticas utilizadas — incluindo implantação de malware, rastreamento na blockchain e reutilização de infraestrutura — correspondem altamente às características conhecidas do Lazarus Group. Além disso, indica que o BlueNoroff Group, organização relacionada ao Lazarus, também pode estar envolvido ou ser o único atacante.

Os dados pessoais dos usuários da Bitrefill foram amplamente vazados?
A Bitrefill afirma que não há evidências de que os hackers tenham extraído toda a base de dados, tendo realizado apenas consultas limitadas, com o objetivo principal de identificar ativos financeiros que possam ser roubados. No entanto, os 18.500 registros de compras acessados representam um risco de vazamento de algumas informações de clientes, sendo recomendável que os usuários fiquem atentos a possíveis atividades suspeitas.