Se han robado más de 1,5 millones de dólares en criptomonedas a través de un exploit de cajero automático de Bitcoin de Typical Bytes. Los piratas informáticos abusaron de una falla de día cero para robar los fondos.
Los cajeros automáticos de Bitcoin de General Bytes han sido pirateados
El 18 de marzo de 2023, el principal proveedor de cajeros automáticos de Bitcoin, Common Bytes, experimentó un incidente de seguridad que provocó el robo de más de 1,5 millones de dólares en Bitcoin.
General Bytes ha vendido más de 15 000 cajeros automáticos de Bitcoin en 149 países (según su sitio world-wide-web oficial) y tiene su sede en la República Checa. El 20 de marzo, dos días después del incidente de seguridad, Basic Bytes publicó una publicación de website informando al público sobre el ataque.
En la publicación del blog de Typical Bytes, se afirmó que el atacante detrás del exploit «podría cargar su aplicación Java de forma remota a través de la interfaz de servicio maestra utilizada por las terminales para cargar films y ejecutarla usando los privilegios de usuario de BATM».
El atacante «escaneó el espacio de direcciones IP de alojamiento en la nube de Electronic Ocean e identificó la ejecución de servicios CAS en los puertos 7741, incluido el servicio Normal Bytes Cloud y otros operadores de cajeros automáticos de GB que ejecutan sus servidores en Digital Ocean».
El operador malicioso explotó una falla de día cero dentro de la interfaz de servicio maestro de Common Bytes para cargar la aplicación Java.
Como resultado del exploit de día cero, el atacante pudo hacer lo siguiente:
- Accede a la base de datos.
- Lea y descifre las claves API para acceder a los fondos retenidos en intercambios y billeteras calientes.
- Retirar fondos de las billeteras calientes específicas.
- Descargar nombres de usuario y hash de contraseñas.
- Deshabilite la autenticación de dos factores.
- Acceda a los registros de eventos de la terminal y detecte instancias de usuarios que escanean su clave privada en un cajero automático de Normal Bytes (que registrarían las versiones anteriores del program de Standard Bytes).
Al menos 56 Bitcoins fueron robados en el ataque, por un monto de más de $1.5 millones al momento de escribir este artículo.
La vulnerabilidad explotada finalmente ha sido reparada
Normal Bytes tardó 15 horas en lanzar un parche para la vulnerabilidad, aunque el truco ya se había ejecutado con éxito en este punto.
Typical Bytes declaró en su publicación de site sobre el ataque que, en las múltiples auditorías de seguridad realizadas por la empresa desde 2021, nunca se detectó la vulnerabilidad del software package explotado.
Esto marca el segundo incidente de seguridad de Normal Bytes durante el año pasado, con una vulnerabilidad explotada en agosto de 2022 para robar fondos una vez más.
Common Bytes cierra su servicio en la nube
En la publicación de blog site antes mencionada, Common Bytes notificó a los lectores que cerraría su servicio en la nube. A partir de ahora, el proveedor de cajeros automáticos requerirá que sus clientes accedan a sus cajeros automáticos a través de servidores independientes.
Normal Bytes también declaró que a los clientes ya se les ha proporcionado información sobre esta nueva configuración y espera que los usuarios entiendan el cambio.
El criptocrimen sigue siendo frecuente
Este hack de cajero automático de Bitcoin de Typical Bytes es solo otro de los miles de delitos criptográficos que han tenido lugar en los últimos años. Los ciberdelincuentes continúan enfocándose en esta industria para robar datos y fondos, y las criptomonedas brindan una capa adicional de anonimato. Aunque los métodos de detección y prevención están mejorando, todavía existen numerosas formas en las que las organizaciones y las personas pueden perder sus activos en los ataques cibernéticos basados en criptografía.
