Kelompok Lazarus Menyerang Lagi! Laptop Karyawan Bitrefill Diretas, Dana Dompet Panas Dicuri

Platform e-commerce mata uang kripto Bitrefill mengungkapkan pada 18 Maret di X bahwa perusahaan mengalami serangan siber pada 1 Maret, dengan metode serangan yang sangat sesuai dengan ciri-ciri yang diketahui dari kelompok peretas Korea Utara, Lazarus Group. Peretas masuk ke komputer laptop salah satu karyawan, kemudian mencuri dana dari dompet panas perusahaan, serta mendapatkan akses ke 18.500 catatan pembelian.

Jalur Serangan: dari laptop karyawan menyusup secara lateral ke dompet panas

Pengungkapan dari Bitrefill mengungkapkan jalur infiltrasi berlapis dari serangan ini: peretas pertama kali menyusup ke perangkat karyawan menggunakan malware, lalu memanfaatkan perangkat tersebut sebagai batu loncatan untuk menyusup secara lateral ke dompet panas perusahaan. Jalur ini, yang mengandalkan “perangkat terminal sebagai pintu masuk dan aset utama sebagai target,” sesuai dengan metode serangan yang diketahui dari Lazarus Group dan organisasi terkaitnya, BlueNoroff Group.

Bitrefill menunjukkan bahwa BlueNoroff Group mungkin terlibat dalam kejadian ini, bahkan bisa jadi satu-satunya pelaku serangan. Dari segi akses data, pelaku melakukan query terbatas ke database catatan pembelian, dengan tujuan utama “mengeksplorasi aset yang dapat dicuri, termasuk cryptocurrency dan stok kartu hadiah.” Bitrefill menegaskan bahwa tidak ada bukti bahwa pelaku mengekstrak seluruh database, dan motif serangan ini lebih didasarkan pada pencurian finansial.

Dampak terhadap pelanggan: data terbatas yang bocor, layanan telah pulih sepenuhnya

Pelaku mengakses 18.500 catatan pembelian. Bitrefill menyatakan bahwa ini mungkin menyebabkan “data pelanggan terbatas” bocor, namun tidak ditemukan tanda-tanda pengambilan database secara besar-besaran. Bitrefill mengumumkan secara resmi: “Hampir semua layanan telah kembali normal—pembayaran, stok, dan akun, serta volume penjualan sudah kembali ke tingkat normal.”

Tindakan keamanan: empat perusahaan keamanan siber terlibat, sistem pertahanan secara menyeluruh ditingkatkan

Setelah kejadian, Bitrefill mengambil berbagai langkah respons:

Penutupan segera: menutup sistem terkait secara cepat untuk mencegah penyebaran serangan

Pelaporan ke penegak hukum: telah menghubungi pihak berwenang terkait

Kerja sama dengan perusahaan keamanan pihak ketiga: bekerja sama dengan Security Alliance, FearsOff Security, Recoveris.io, dan zeroShadow untuk penyelidikan

Penguatan sistem: menerapkan saran dari tim riset keamanan, memperkuat kontrol akses internal, serta meningkatkan mekanisme monitoring untuk memperpendek waktu deteksi dan respons

Bitrefill menyatakan bahwa sejak kejadian, langkah-langkah keamanan siber mereka telah “secara signifikan diperbaiki.”

Latar belakang Lazarus Group: dari Bybit 1,4 miliar hingga Bitrefill

Lazarus Group adalah salah satu organisasi ancaman paling destruktif di industri cryptocurrency saat ini, dengan kaitan erat terhadap pemerintah Korea Utara. Pada Februari 2025, Lazarus Group dituduh merancang salah satu pencurian terbesar dalam sejarah cryptocurrency, mencuri aset kripto senilai hingga 1,4 miliar dolar dari bursa Bybit, menjadikannya serangan peretasan terbesar dalam sejarah di bidang ini.

Kejadian ini di Bitrefill merupakan serangan terbaru yang dituduh dilakukan oleh Lazarus Group atau organisasi terkaitnya setelah insiden di Bybit, menunjukkan bahwa organisasi ini terus menargetkan perangkat karyawan perusahaan kripto sebagai titik masuk utama infiltrasi.

Pertanyaan umum

Apa metode utama dari serangan terhadap Bitrefill?

Serangan terjadi pada 1 Maret, di mana peretas menggunakan malware, pelacakan di blockchain, serta infrastruktur yang digunakan berulang kali seperti IP dan email, untuk masuk ke laptop salah satu karyawan, mendapatkan akses ke dompet panas dan mencuri dana, serta melakukan query terbatas terhadap 18.500 catatan pembelian.

Mengapa Bitrefill mengaitkan serangan ini dengan Lazarus Group?

Bitrefill menunjukkan bahwa metode yang digunakan—termasuk penyebaran malware, pelacakan di blockchain, dan penggunaan infrastruktur berulang—sangat sesuai dengan ciri-ciri serangan yang diketahui dari Lazarus Group. Mereka juga menyebut bahwa BlueNoroff Group, yang terkait erat dengan Lazarus, mungkin terlibat atau bahkan satu-satunya pelaku.

Apakah data pribadi pengguna Bitrefill telah bocor secara besar-besaran?

Bitrefill menyatakan bahwa saat ini tidak ada bukti bahwa pelaku mengekstrak seluruh database. Query yang dilakukan terbatas, dan tujuan utama adalah mengidentifikasi aset keuangan yang dapat dicuri. Namun, karena 18.500 catatan pembelian diakses, ada risiko terbatas terhadap bocornya data pelanggan tertentu, dan pengguna disarankan untuk memperhatikan adanya aktivitas mencurigakan.