El fabricante de cajeros automáticos de Bitcoin, General Bytes, se vio comprometido a través de un ataque de día cero el 18 de agosto, lo que permitió a los piratas informáticos hacerse pasar por administradores de forma predeterminada y cambiar la configuración para que todos los fondos se transfieran a la dirección de su billetera.

La cantidad de fondos robados y la cantidad de cajeros automáticos comprometidos no se han hecho públicos, pero la compañía ha recomendado urgentemente a los operadores de cajeros automáticos que actualicen su software.

El ataque fue confirmado por General Bytes el 18 de agosto, que posee y opera 8827 cajeros automáticos de Bitcoin que están disponibles en más de 120 países. La empresa tiene su sede en Praga, República Checa, donde también se fabrican los cajeros automáticos. Los clientes de cajeros automáticos pueden comprar o vender más de 40 monedas.

La vulnerabilidad existe desde que los mods de hackers actualizaron el software CAS a la versión 20201208 el 18 de agosto.

LEER  Huobi eliminará Monero y otras monedas de privacidad, citando presión regulatoria

General Bytes ha instado a los clientes a que se abstengan de usar sus servidores ATM de General Bytes hasta que actualicen su servidor con la versión 20220725.22 y 20220531.38 para los clientes que ejecutan la 20220531.

También se aconsejó a los clientes que cambiaran la configuración del firewall de su servidor para que solo se pueda acceder a la interfaz de administración de CAS desde direcciones IP autorizadas, entre otras cosas.

Antes de reactivar los terminales, General Bytes también recordó a los clientes que revisen su «Configuración de VENTA de criptografía» para asegurarse de que los piratas informáticos no hayan cambiado la configuración para que todos los fondos recibidos se transfieran a ellos (y no a los clientes).

General Bytes dijo que ha realizado varias auditorías de seguridad desde su inicio en 2020, ninguna de las cuales identificó esta vulnerabilidad.

¿Cómo ocurrió el ataque?

El equipo de consultoría de seguridad de General Bytes dijo en un blog que los piratas informáticos llevaron a cabo un ataque de vulnerabilidad de día cero para obtener acceso al Servidor de aplicaciones criptográficas (CAS) de la empresa y extraer los fondos.

LEER  BTC, ETH, BNB, XRP, ADA, SOL, DOGE, DOT, AVAX, SHIB

El servidor CAS administra toda la operación del cajero automático, que incluye la compra y venta de criptomonedas en los intercambios y qué monedas son compatibles.

Conectado: Vulnerable: Kraken revela que muchos cajeros automáticos de Bitcoin de EE. UU. todavía usan códigos QR de administración estándar

La compañía cree que los piratas informáticos «exploraron en busca de servidores expuestos que se ejecutan en los puertos TCP 7777 o 443, incluidos los servidores alojados en el propio servicio en la nube de General Bytes».

A partir de ahí, los piratas informáticos se agregaron como un administrador predeterminado en CAS llamado «gb» y luego procedieron a cambiar la configuración de «comprar» y «vender» para que cualquier criptomoneda recibida del cajero automático de Bitcoin se transfiriera a la dirección del pirata informático en la billetera. :

«El atacante pudo crear un usuario administrador de forma remota a través de la interfaz de administración de CAS mediante una URL que llama a la página que se usa para instalar el servidor predeterminado y crear el primer usuario administrador».