No lo sabría al visitar el sitio web principal de la compañía, pero General Bytes, una compañía checa que vende cajeros automáticos de Bitcoin, es instando a sus usuarios a parchear un error crítico que drena dinero en su software de servidor.
La empresa afirma tener ventas mundiales de más de 13,000 5000 cajeros automáticos, que se venden al por menor a partir de $XNUMX, según las características y el aspecto.
No todos los países han sido amables con los cajeros automáticos de criptomonedas: el regulador del Reino Unido, por ejemplo, advertido en marzo de 2022 que ninguno de los cajeros automáticos que operaban en el país en ese momento estaban registrados oficialmente, y dijo que sería “contactar a los operadores instruyendo que se apaguen las máquinas”.
Fuimos a verificar nuestro cajero automático criptográfico local en ese momento y encontramos que mostraba un mensaje de "Terminal fuera de línea". (Desde entonces, el dispositivo se retiró del centro comercial donde se instaló).
Sin embargo, General Bytes dice que atiende a clientes en más de 140 países, y su mapa global de ubicaciones de cajeros automáticos muestra una presencia en todos los continentes excepto en la Antártida.
Incidente de seguridad reportado
Según la base de conocimientos de productos de General Bytes, un "incidente de seguridad" con un nivel de gravedad de La más alta fue descubierto la semana pasada.
En palabras de la propia empresa:
El atacante pudo crear un usuario administrador de forma remota a través de la interfaz administrativa de CAS a través de una llamada URL en la página que se utiliza para la instalación predeterminada en el servidor y la creación del primer usuario administrador.
Por lo que podemos decir, CAS es la abreviatura de Servidor de cajero automático de monedas, y todos los operadores de cajeros automáticos de criptomonedas de General Bytes necesitan uno de estos.
Al parecer, puede alojar su CAS en cualquier lugar que desee, incluso en su propio hardware en su propia sala de servidores, pero General Bytes tiene un acuerdo especial con la empresa de alojamiento Digital Ocean para una solución en la nube de bajo costo. (También puede dejar que General Bytes ejecute el servidor por usted en la nube a cambio de una reducción del 0.5 % de todas las transacciones en efectivo).
Según el informe del incidente, los atacantes realizaron un escaneo de puertos de los servicios en la nube de Digital Ocean, buscando servicios web de escucha (puertos 7777 o 443) que se identificaran como servidores CAS de General Bytes, para encontrar una lista de posibles víctimas.
Tenga en cuenta que la vulnerabilidad explotada aquí no se debió a Digital Ocean ni se limitó a las instancias de CAS basadas en la nube. Suponemos que los atacantes simplemente decidieron que Digital Ocean era un buen lugar para comenzar a buscar. Recuerde que con una conexión a Internet de muy alta velocidad (p. ej., 10 Gbit/s) y utilizando software disponible gratuitamente, los atacantes decididos ahora pueden escanear todo el espacio de direcciones de Internet IPv4 en horas o incluso minutos. Así es como funcionan los motores públicos de búsqueda de vulnerabilidades como Shodan y Censys, rastreando continuamente Internet para descubrir qué servidores y qué versiones están actualmente activos en qué ubicaciones en línea.
Aparentemente, una vulnerabilidad en el propio CAS permitió a los atacantes manipular la configuración de los servicios de criptomonedas de la víctima, que incluyen:
- Agregar un nuevo usuario con privilegios administrativos.
- Usando esta nueva cuenta de administrador reconfigurar los cajeros automáticos existentes.
- Desviar todos los pagos no válidos a una billetera propia.
Por lo que podemos ver, esto significa que los ataques realizados se limitaron a transferencias o retiros en los que el cliente cometió un error.
En tales casos, al parecer, en lugar de que el operador del cajero automático recopile los fondos mal dirigidos para que posteriormente puedan ser reembolsados o redirigidos correctamente...
…los fondos irían directa e irreversiblemente a los atacantes.
General Bytes no dijo cómo se enteró de esta falla, aunque imaginamos que cualquier operador de cajero automático que se enfrentara a una llamada de soporte sobre una transacción fallida se daría cuenta rápidamente de que la configuración de su servicio había sido manipulada y daría la alarma.
Indicadores de compromiso
Los atacantes, al parecer, dejaron varios signos reveladores de su actividad, por lo que General Bytes pudo identificar numerosos supuestos Indicadores de compromiso (IoC) para ayudar a sus usuarios a identificar configuraciones CAS pirateadas.
(Recuerde, por supuesto, que la ausencia de IoC no garantiza la ausencia de atacantes, pero los IoC conocidos son un lugar útil para comenzar cuando se trata de detección y respuesta a amenazas).
Afortunadamente, tal vez debido al hecho de que este exploit se basó en pagos no válidos, en lugar de permitir que los atacantes vaciaran los cajeros automáticos directamente, las pérdidas financieras generales en este incidente no se topan con el multimillonario cantidades a menudo asociado errores de criptomonedas.
General Bytes afirmó ayer [2022-08-22] que el “[e]l incidente fue denunciado a la policía checa. El daño total causado a los operadores de cajeros automáticos según sus comentarios es de US$16,000”.
La empresa también desactivó automáticamente todos los cajeros automáticos que administraba en nombre de sus clientes, lo que les exigió que iniciaran sesión y revisaran su propia configuración antes de reactivar sus dispositivos de cajero automático.
¿Qué hacer?
General Bytes ha enumerado un Proceso 11-step que sus clientes deben seguir para remediar este problema, incluyendo:
- parcheo el servidor CAS.
- Revisar la configuración del cortafuegos para restringir el acceso a la menor cantidad posible de usuarios de la red.
- Desactivación de cajeros automáticos para que el servidor pueda volver a abrirse para su revisión.
- Revisando todos los ajustes, incluidos los terminales falsos que se hayan agregado.
- Reactivación de terminales solo después de completar todos los pasos de búsqueda de amenazas.
Este ataque, por cierto, es un fuerte recordatorio de por qué la respuesta a amenazas contemporánea no se trata simplemente de reparar agujeros y eliminar malware.
En este caso, los delincuentes no implantaron ningún malware: el ataque se orquestó simplemente a través de cambios de configuración malévolos, sin tocar el sistema operativo subyacente y el software del servidor.
¿No hay suficiente tiempo o personal?
Aprenda más sobre Detección y respuesta gestionadas por Sophos:
Búsqueda, detección y respuesta de amenazas las 24 horas del día, los 7 días de la semana ▶
Imagen destacada de Bitcoins imaginarios vía Licencia de Unsplash.
- ATM
- blockchain
- BTC
- Coingenius
- cripto
- criptomoneda
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Bytes generales
- Kaspersky
- el malware
- Mcafee
- Seguridad desnuda
- NexBLOC
- retiro fantasma
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- vulnerabilidad
- seguridad del sitio web
- zephyrnet
![T3 Ep 126: El precio de la moda rápida (y el aumento de funciones) [Audio + Texto]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "T3 Ep 126: El precio de la moda rápida (y el aumento de funciones) [Audio + Texto]")
