Los malhechores no identificados han desviado criptomonedas valoradas en más de 1,5 millones de dólares de los cajeros automáticos de Bitcoin al explotar una falla desconocida en los sistemas de entrega de digicash.

Según General Bytes, el equipo que vendió los cajeros automáticos y administró algunos de ellos con un servicio en la nube, los atacantes usaron una interfaz diseñada para cargar movies para inyectar una aplicación Java maliciosa y luego subvirtieron los privilegios de los usuarios de cajeros automáticos.

Drenaron al menos 56 Bitcoin, alrededor de $ 1.5 millones a partir del momento de la publicación, de las billeteras criptográficas. General Bytes emitió un parche 15 horas después de descubrir la intrusión, pero para entonces las monedas digitales ya no estaban, dejando a un número desconocido de víctimas enganchadas por el dinero perdido.

«Todo el equipo ha estado trabajando las 24 horas para recopilar todos los datos relacionados con la brecha de seguridad y está trabajando continuamente para resolver todos los casos para ayudar a los clientes a volver a estar en línea y continuar operando sus cajeros automáticos lo antes posible», explicó Standard Bytes en un comunicado.

Basic Bytes notificó a las empresas que compraron sus cajeros automáticos que cerraran sus sistemas. El proveedor, con sede en Praga y una oficina estadounidense en Bradenton, Florida, vende y opera cinco modelos diferentes de cajero automático criptográfico.

La gente los united states of america para intercambiar Bitcoin y otras monedas. En total, Basic Bytes dice que ha vendido más de 15,000 terminales en 149 países que admiten más de 180 monedas. Los sistemas han realizado más de 15,2 millones de transacciones.

El ataque

Las empresas que compran los cajeros automáticos los conectan a un servidor de aplicaciones criptográficas (CAS) administrado por el propio cliente o, hasta ahora, Standard Bytes a través del proveedor de servicios en la nube DigitalOcean.

En la violación del fin de semana, los atacantes explotaron una vulnerabilidad que no había sido detectada a pesar de múltiples auditorías de seguridad desde 2021. Los malos escanearon el espacio de direcciones IP de DigitalOcean y encontraron servicios de Crypto Application Server (CAS) en el puerto 7741, incluido el servicio en la nube de Normal Bytes y otros clientes que utilizan sus cajeros automáticos en DigitalOcean.

«Utilizando esta vulnerabilidad de seguridad, el atacante cargó su aplicación directamente en el servidor de aplicaciones utilizado por la interfaz de administración», escribió el vendedor de cajeros automáticos escarmentado. «El servidor de aplicaciones estaba, de forma predeterminada, configurado para iniciar aplicaciones en su carpeta de implementación».

Los malhechores accedieron a la base de datos, leyeron y descifraron las claves e intercambios API, y extrajeron las monedas digitales de las billeteras. También podrían descargar nombres de usuario y hash de contraseñas, desactivar la autenticación multifactor, acceder a los registros de eventos del terminal y buscar instancias en las que los usuarios escanearon claves privadas en los terminales.

Este es el segundo ataque de este tipo contra Basic Bytes, al que le robaron monedas digitales en agosto de 2022 unos malhechores que explotaron una falla en el CAS.

El problema con las billeteras calientes

Las billeteras calientes presentan un problema specific en el mercado criptográfico de alto riesgo. Las billeteras serían más seguras si estuvieran desconectadas de Net, pero los usuarios confían en ellas para realizar transacciones rápidas, lo que requiere conectividad.

«Todo el propósito de las billeteras calientes es proporcionar una capacidad inmediata para realizar transacciones», dijo John Bambenek, principal cazador de amenazas de la firma de seguridad cibernética Netenrich. El registro. «Dicho esto, la seguridad de cualquier billetera está ligada a la seguridad de la clave privada. Si alguien obtiene eso, que se puede copiar, se acabó el juego. Todas las capas de protección contra el fraude no se aplican ni se pueden aplicar a las criptomonedas. .»

Standard Bytes dijo que está cerrando sus servicios en la nube y señaló que es «teóricamente (y prácticamente) imposible asegurar un sistema que otorga acceso a múltiples operadores al mismo tiempo donde algunos de ellos son malos actores».

Todos los clientes ahora administrarán sus propios terminales utilizando sus propios servidores. Common Bytes ayudará a las empresas a migrar sus datos de la nube a sus servidores independientes. También insta a los clientes a mantener su CAS detrás de un firewall y VPN para evitar que otros atacantes accedan a ellos a través de World-wide-web.

También deben asumir que todas las contraseñas de sus usuarios y las claves API para los intercambios y las billeteras calientes están comprometidas.

El registro ha pedido a Typical Bytes más comentarios y se actualizará si llega más información.

El robo de criptomonedas es un gran negocio que no hace más que crecer. Según el negocio de blockchain Chainalysis, en 2022 se robaron USD 3800 millones en monedas digitales, en comparación con USD 500 millones dos años antes. Mike Parkin, evangelista técnico sénior en el proveedor de remediación de riesgos Vulcan Cyber, dijo que solo hay una forma de reducir realmente el riesgo que conlleva la criptomoneda: salir de ella por completo.

«Puede que no sea la respuesta que la gente quiere escuchar, pero las criptomonedas aún son inmaduras, volátiles, no están reguladas y están sujetas a ataques cibernéticos nuevos y creativos», dijo Parkin. El registro. «¿De verdad quieres tu dinero en este espacio?» ®

Share.
Leave A Reply