A Bitrefill, plataforma de comércio eletrônico focada em criptomoedas, revelou um ataque cibernético ocorrido no início de março. O incidente resultou no roubo de fundos e na exposição limitada de dados de clientes. Além disso, a empresa identificou indícios de possível ligação com o Lazarus Group, frequentemente associado à Coreia do Norte.

Segundo a empresa, a invasão começou em 1º de março a partir de um laptop corporativo comprometido. A partir desse acesso inicial, os invasores exploraram credenciais antigas conectadas aos sistemas de produção e, assim, ampliaram privilégios dentro da infraestrutura interna.

Com isso, os atacantes acessaram partes do banco de dados e algumas hot wallets. Como resultado, uma quantia não divulgada foi drenada. Além disso, houve uso indevido de sistemas de inventário de cartões-presente para realizar compras suspeitas junto a fornecedores.

A Bitrefill não informou o impacto financeiro total, mas afirmou que cobrirá os prejuízos com recursos próprios. A detecção ocorreu após padrões incomuns de compra e atividades irregulares envolvendo fornecedores, o que acionou alertas internos.

Como resposta imediata, a empresa suspendeu temporariamente seus sistemas em nível global para conter o ataque. Posteriormente, os serviços foram restabelecidos e já operam normalmente, incluindo pagamentos e acessos de usuários.

Indícios técnicos e possível ligação com o Lazarus

Durante o incidente, cerca de 18.500 registros de compras foram acessados. Entre os dados expostos estavam e-mails, endereços de pagamento em cripto e metadados, como IPs. Além disso, aproximadamente 1.000 registros incluíam nomes criptografados, que agora são tratados como potencialmente comprometidos.

A Bitrefill informou que notificou diretamente os usuários afetados. Ainda assim, destacou que coleta o mínimo possível de dados pessoais. Em geral, as transações não exigem verificação de identidade, e, quando necessário, processos de KYC são conduzidos por provedores externos.

Segundo a empresa, não há evidências de extração completa da base de dados. Em vez disso, os registros sugerem consultas limitadas. Dessa forma, o comportamento dos invasores indica foco em ativos de maior valor, como saldos em cripto e inventário de cartões-presente.

Padrões de ataque levantam suspeitas

A investigação identificou semelhanças com operações previamente atribuídas ao Lazarus Group. Entre os sinais estão possíveis reutilizações de infraestrutura, padrões de transações on-chain e características de malware já observadas em outros casos. Ainda assim, a atribuição não é definitiva e segue baseada em indícios técnicos.

O Lazarus é conhecido por envolvimento em grandes ataques ao setor de criptomoedas, frequentemente associados a operações sofisticadas. Nesse contexto, o episódio reforça preocupações sobre ameaças persistentes no mercado cripto.

Empresas como zeroShadow, SEAL911 e RecoverisTeam participaram da resposta ao incidente. Paralelamente, analistas on-chain e autoridades também colaboraram na investigação. Como medida adicional, a Bitrefill afirmou que está reforçando monitoramento e controles internos.

Segundo a empresa de análise de blockchain Chainalysis, grupos ligados à Coreia do Norte foram responsáveis ​​por mais de US$ 2 bilhões em roubos de criptomoedas em 2025, representando uma parcela significativa da atividade ilícita total nesse setor.

Em síntese, a Bitrefill afirma que suas operações estão estabilizadas e que a atividade dos clientes voltou ao normal. A empresa mantém foco na mitigação de riscos e no fortalecimento de sua segurança.