¿Cómo fue hackeado el fabricante lider de cajeros automáticos de criptomonedas y se robaron millones de fondos?

General Bytes, un fabricante líder de cajeros automáticos (ATM) de criptomonedas, fue víctima de una brecha de seguridad que resultó en la pérdida de más de $1.5 millones en Bitcoin. General Bytes informó originalmente del evento en su cuenta oficial de Twitter. Según la empresa, los atacantes explotaron una vulnerabilidad en la interfaz de servicio principal que utilizan los cajeros automáticos de Bitcoin para enviar videos, lo que les permitió cargar un script de JavaScript y ejecutarlo con derechos de usuario de batm.

Según la firma, “el atacante buscó en el espacio de direcciones IP de alojamiento en la nube de Digital Ocean y descubrió servicios CAS operativos en los puertos 7741, incluido el servicio General Bytes Cloud y otros operadores de cajeros automáticos de GB que ejecutan sus servidores en Digital Ocean”.

Como resultado de la ejecución del código, los atacantes obtuvieron acceso a la base de datos, así como a las claves API para acceder al dinero en las carteras calientes y los intercambios. El atacante aprovechó la interfaz de servicio maestro para cargar de forma remota un programa Java, obteniendo acceso a los derechos de usuario de BATM, la base de datos y las claves API necesarias para acceder al dinero en las carteras e intercambios activos.

Como consecuencia, el pirata informático obtuvo acceso a los usuarios, hash de contraseñas, desactivó la verificación de dos factores y envió fondos desde billeteras calientes.

El pirata informático logró robar 56,28 bitcoins, con un valor de alrededor de $ 1,5 millones, así como liquidar otras criptomonedas, incluidas ETH, USDT, BUSD, ADA, DAI, DOGE, SHIB y TRX. Los activos robados no se han movido de la dirección de bitcoin desde el 18 de marzo y ciertas monedas digitales se han transferido a otros destinos, incluida una plataforma comercial descentralizada.

Además, los atacantes obtuvieron la “capacidad de acceder a los registros de eventos de la terminal y buscar cada ocurrencia cuando los usuarios escanearon la clave privada en el cajero automático”, información que registraron las versiones anteriores del software del cajero automático.

En venta datos personales de 350 mil pacientes de COVID-19 de México, Perú, Colombia y Argentina. A las empresas de desinfección o seguros médicos le interesará esta base de datos

“El 18 de marzo, recomendamos a todos nuestros clientes que tomen medidas rápidas para salvaguardar sus finanzas e información personal”, tuiteó General Bytes.

La firma ha revelado las direcciones de billetera y tres direcciones IP utilizadas por el atacante en la violación. Sin embargo, según ciertas fuentes, el nodo completo de la empresa es lo suficientemente seguro como para evitar el acceso no deseado al efectivo.

La empresa publicó información sobre las acciones que los clientes deben tomar para proteger sus servidores GB ATM (CAS) en un aviso de seguridad que documenta el evento, enfatizando que incluso aquellos que no se vieron afectados por el incidente deben adoptar las medidas de seguridad sugeridas.

“Por favor, mantenga su CAS protegido por un firewall y una VPN”. Los terminales también deben usar VPN para conectarse a CAS. Con una VPN/Firewall, los atacantes del Internet abierto no pueden acceder y explotar su servidor. Si su servidor se vio comprometido, reinstale todo el servidor, incluido el sistema operativo”, aconseja la empresa.

El fabricante de cajeros automáticos criptográficos emitió un parche de seguridad CAS y aconsejó a los consumidores que consideren todas las contraseñas de usuario y las claves API para los intercambios y las billeteras calientes como comprometidas y que las reemplacen. “Aún no tenemos las estadísticas finales”, dijo General Bytes. Actualmente estamos recopilando información de los operadores. Todavía estamos lidiando con daños de aproximadamente 56 BTC a partir de hoy.