Você não saberia disso visitando o site principal da empresa, mas a General Bytes, uma empresa tcheca que vende caixas eletrônicos Bitcoin, está exortando seus usuários para corrigir um bug crítico que drena dinheiro em seu software de servidor.
A empresa afirma ter vendas mundiais de mais de 13,000 caixas eletrônicos, que custam US$ 5000 ou mais, dependendo das características e da aparência.
Nem todos os países aceitaram bem os caixas eletrônicos de criptomoeda – o regulador do Reino Unido, por exemplo, avisado em março de 2022 que nenhum dos caixas eletrônicos que operavam no país na época estava oficialmente registrado e disse que seria “entrar em contato com os operadores instruindo que as máquinas sejam desligadas”.
Fomos verificar nosso caixa eletrônico criptografado local na época e o encontramos exibindo uma mensagem “Terminal offline”. (O dispositivo já foi removido do shopping onde foi instalado.)
No entanto, a General Bytes afirma que atende clientes em mais de 140 países, e seu mapa global de locais de caixas eletrônicos mostra presença em todos os continentes, exceto na Antártida.
Incidente de segurança relatado
De acordo com a base de conhecimento do produto General Bytes, um “incidente de segurança” com um nível de gravidade de Maior foi descoberto na semana passada.
Nas palavras da própria empresa:
O invasor conseguiu criar um usuário administrador remotamente por meio da interface administrativa do CAS por meio de uma chamada de URL na página que é usada para a instalação padrão no servidor e para a criação do primeiro usuário administrativo.
Tanto quanto podemos dizer, CAS é curto para Servidor ATM de moedas, e cada operador de caixas eletrônicos de criptomoeda General Bytes precisa de um desses.
Parece que você pode hospedar seu CAS em qualquer lugar que desejar, inclusive em seu próprio hardware em sua própria sala de servidores, mas a General Bytes tem um acordo especial com a empresa de hospedagem Digital Ocean para uma solução em nuvem de baixo custo. (Você também pode permitir que a General Bytes execute o servidor na nuvem em troca de uma redução de 0.5% em todas as transações em dinheiro.)
De acordo com o relatório do incidente, os invasores realizaram uma varredura de portas dos serviços em nuvem da Digital Ocean, em busca de serviços web de escuta (portas 7777 ou 443) que se identificaram como servidores CAS da General Bytes, a fim de encontrar uma lista de possíveis vítimas.
Observe que a vulnerabilidade explorada aqui não se restringiu ao Digital Ocean ou se limitou a instâncias CAS baseadas em nuvem. Acreditamos que os invasores simplesmente decidiram que o Digital Ocean era um bom lugar para começar a procurar. Lembre-se de que, com uma conexão de Internet de altíssima velocidade (por exemplo, 10 Gbit/s) e usando software disponível gratuitamente, invasores determinados agora podem verificar todo o espaço de endereços da Internet IPv4 em horas ou até minutos. É assim que funcionam os motores de busca de vulnerabilidades públicas, como o Shodan e o Censys, vasculhando continuamente a Internet para descobrir quais servidores e quais versões estão atualmente ativos em quais locais online.
Aparentemente, uma vulnerabilidade no próprio CAS permitiu que os invasores manipulassem as configurações dos serviços de criptomoeda da vítima, incluindo:
- Adicionar um novo usuário com privilégios administrativos.
- Usando esta nova conta de administrador para reconfigurar caixas eletrônicos existentes.
- Desviando todos os pagamentos inválidos para uma carteira própria.
Pelo que podemos constatar, isto significa que os ataques realizados se limitaram a transferências ou levantamentos em que o cliente cometeu um erro.
Nesses casos, ao que parece, em vez de o operador do ATM recolher os fundos mal direcionados para que possam posteriormente ser reembolsados ou corretamente redirecionados…
…os fundos iriam direta e irreversivelmente para os atacantes.
A General Bytes não disse como essa falha chegou ao seu conhecimento, embora imaginemos que qualquer operador de caixa eletrônico que recebesse uma chamada de suporte sobre uma transação fracassada perceberia rapidamente que suas configurações de serviço haviam sido adulteradas e daria o alarme.
Indicadores de compromisso
Os atacantes, aparentemente, deixaram para trás vários sinais reveladores da sua actividade, de modo que o General Bytes foi capaz de identificar numerosos chamados Indicadores de compromisso (IoCs) para ajudar seus usuários a identificar configurações CAS hackeadas.
(Lembre-se, é claro, de que a ausência de IoCs não garante a ausência de invasores, mas os IoCs conhecidos são um ponto de partida útil quando se trata de detecção e resposta a ameaças.)
Felizmente, talvez devido ao fato de que esta exploração se baseou em pagamentos inválidos, em vez de permitir que os invasores drenassem os caixas eletrônicos diretamente, as perdas financeiras gerais neste incidente não atingem o multimilionário quantidades frequentemente associado de erros de criptomoeda.
General Bytes afirmou ontem [2022-08-22] que o “[o] incidente foi relatado à polícia tcheca. O dano total causado aos operadores de caixas eletrônicos com base em seus comentários é de US$ 16,000.”
A empresa também desativou automaticamente todos os caixas eletrônicos que gerenciava em nome de seus clientes, exigindo assim que esses clientes fizessem login e revisassem suas próprias configurações antes de reativar seus dispositivos ATM.
O que fazer?
General Bytes listou um Processo 11-step que seus clientes precisam seguir para remediar esse problema, incluindo:
- Patching o servidor CAS.
- Revendo as configurações do firewall restringir o acesso ao menor número possível de usuários da rede.
- Desativando terminais ATM para que o servidor possa ser acessado novamente para revisão.
- Revendo todas as configurações, incluindo quaisquer terminais falsos que possam ter sido adicionados.
- Reativando terminais somente depois de concluir todas as etapas de busca de ameaças.
A propósito, este ataque é um forte lembrete de por que a resposta contemporânea às ameaças não se trata apenas de corrigir falhas e remover malware.
Neste caso, os criminosos não implantaram nenhum malware: o ataque foi orquestrado simplesmente através de alterações malévolas na configuração, com o sistema operacional subjacente e o software do servidor deixados intactos.
Não há tempo ou pessoal suficiente?
Saiba mais sobre Detecção e Resposta Gerenciada Sophos:
Caça, detecção e resposta a ameaças 24 horas por dia, 7 dias por semana ▶
Imagem em destaque de Bitcoins imaginados via Licença Unsplash.
- ATM
- blockchain
- BTC
- Coingenius
- cripto
- criptomoedas
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Bytes Gerais
- Kaspersky
- malwares
- Mcafee
- Segurança nua
- NexBLOC
- retirada fantasma
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- vulnerabilidade
- a segurança do website
- zefirnet
![S3 Ep 126: O preço da moda rápida (e recurso rastejante) [Áudio + Texto]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126: O preço da moda rápida (e recurso rastejante) [Áudio + Texto]")
