Платформа Bitrefill, яка продає подарункові картки за криптовалюту в 150 країнах і підтримує понад 600 мобільних операторів та тисячі брендів, постраждала від кібератаки на початку березня 2026 року. Зловмисники, ймовірно, належать до кластера Bluenoroff групи Lazarus, яка діє з 2014 року і спеціалізується на крадіжці криптовалюти з фінансових організацій. 1 березня 2026 року компанія повідомила про технічні проблеми з доступом до сайту та додатка. 2 березня сервіси повністю вимкнули для розслідування, поступово відновлюючи роботу. Атаку виявили через підозрілі покупки від постачальників, використання запасів подарункових карток і витік частини гарячих гаманців. З’ясувалося, що хакери спочатку скомпрометували ноутбук співробітника, викрали старі облікові дані та отримали доступ до знімка з виробничими секретами. Це дозволило перейти до основної інфраструктури, бази даних і криптогаманців.

Витік торкнувся близько 18 500 записів покупок: електронні адреси, IP-адреси та криптоадреси платежів. Для 1000 покупок також розкрито імена клієнтів. Дані зберігалися в зашифрованому вигляді, але зловмисники могли отримати ключі розшифрування. Баланси користувачів не постраждали, атака була спрямована на запаси криптовалюти та подарункових карток. Атрибуцію підтвердили за допомогою тактик, шкідливого ПЗ, IP-адрес, електронних адрес і ланцюжкових транзакцій, схожих на попередні операції Bluenoroff. Це була найсерйозніша атака на Bitrefill за десять років. Компанія покрила втрати з власного капіталу і розширила перевірки безпеки, тестування на проникнення, контроль доступу, логування та автоматичне вимкнення систем. Більшість сервісів уже відновлено.