Cajeros automáticos de Bitcoin de General Bytes, hackeados para robar fondos

Uno de los principales proveedores de cajeros automáticos de Bitcoin insta a sus clientes a actualizar sus sistemas inmediatamente después de revelar que unos piratas informáticos explotaron una vulnerabilidad de día cero en su software el pasado fin de semana para robar fondos.

General Bytes explicó en un aviso que el fallo en sí se encontró en la interfaz de servicio maestro utilizada por los cajeros automáticos de Bitcoin para subir vídeos al servidor.

«El atacante escaneó el espacio de direcciones IP de alojamiento en la nube de Digital Ocean e identificó servicios CAS [Crypto Application Server] en ejecución en los puertos 7741, incluido el servicio General Bytes Cloud y otros operadores de cajeros automáticos GB que ejecutan sus servidores en Digital Ocean (nuestro proveedor de alojamiento en la nube recomendado)», continuaba.

«Utilizando esta vulnerabilidad de seguridad, [el] atacante subió su propia aplicación directamente a [un] servidor de aplicaciones utilizado por [la] interfaz de administración. El servidor de aplicaciones estaba configurado por defecto para iniciar aplicaciones en su carpeta de despliegue.»

Después de subir la aplicación Java a la interfaz de servicio maestro utilizada por los cajeros automáticos, el actor de la amenaza fue capaz de realizar una serie de acciones que incluyen:

-Acceder a la base de datos

-Lectura y descifrado de claves API utilizadas para acceder a fondos en monederos calientes e intercambios

-Envío de fondos desde hot wallets

-Descargar los hashes de nombres de usuario y contraseñas y desactivar la autenticación de dos factores

-Acceso a los registros de eventos del terminal y búsqueda de cualquier caso en el que los clientes hayan escaneado claves privadas en el cajero automático.

General Bytes señaló que, además de los servidores independientes de otros operadores, los atacantes habían accedido a su propio servicio en la nube.

Instó a cualquier operador de cajeros automáticos a parchear inmediatamente su software CAS y considerar que las contraseñas CAS y las claves API de todos los usuarios para intercambios y hot wallets han sido comprometidas. En consecuencia, deben restablecer las contraseñas y generar nuevas claves API o invalidar las antiguas.

Zi zoom

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.