Hacker robó dinero de usuarios de cajeros automáticos de Bitcoin

• El fabricante de cajeros automáticos de Bitcoin, General Bytes, enfrentó un compromiso en sus servidores a través de un ataque de día cero que ocurrió la semana pasada.
• La compañía no reveló la cantidad de fondos robados ni la cantidad de cajeros automáticos comprometidos. Sin embargo, General Bytes ha aconsejado a los operadores de cajeros automáticos que actualicen urgentemente su software.

---

El renombrado fabricante de cajeros automáticos de Bitcoin, General Bytes, se enfrentó recientemente a un compromiso en sus servidores a través de un ataque de día cero que ocurrió la semana pasada. El incidente permitió a los atacantes actuar como administradores predeterminados y cambiar la configuración para transferir todos los fondos a la dirección de su billetera.

Ni la compañía reveló la cantidad de fondos robados ni la cantidad de cajeros automáticos de Bitcoin comprometidos. Sin embargo, General Bytes tiene aconsejado Los operadores de cajeros automáticos actualizarán urgentemente su software.

Según el aviso de la compañía publicado el jueves, el pirata informático identificó un error de seguridad en la interfaz de administración de CAS. Escanearon el espacio de direcciones IP del proveedor de alojamiento en la nube Digital Ocean y hicieron un mal uso de la vulnerabilidad para identificar los servicios CAS en ejecución en los puertos 7777 o 443. Después de esto, crearon un nuevo usuario administrador, organización y terminal predeterminados. 

Después de evaluar minuciosamente la interfaz CAS, el atacante cambió el nombre del usuario administrador predeterminado a "gb". Después de esto, realizaron cambios en la configuración criptográfica de las máquinas bidireccionales con la configuración de la billetera Thor. Esto resultó en que los cajeros automáticos de Bitcoin bidireccionales reenviaran criptomonedas a la billetera del atacante cuando los clientes enviaban sus fondos a los cajeros automáticos:

"El atacante pudo crear un usuario administrador de forma remota a través de la interfaz administrativa de CAS mediante una llamada URL en la página que se utiliza para la instalación predeterminada en el servidor y la creación del primer usuario administrativo".

A pesar de la desafortunada violación, General Bytes afirma que no se ha realizado ningún acceso a la base de datos. Además, el atacante no obtuvo acceso a la operación del host ni al sistema de archivos. La empresa con sede en Praga, República Checa, aclaró que todas las contraseñas, hashes de contraseñas, sales, claves API y claves privadas son seguras.

La urgencia del marcador de cajeros automáticos de Bitcoin para los clientes

General Bytes, que posee y opera 8827 cajeros automáticos de Bitcoin repartidos en más de 120 países, ofrece a los clientes la oportunidad de comprar y vender más de 40 criptomonedas.

La compañía ha instado a los clientes que se ejecutan en 20220531 a que dejen de usar sus servidores ATM de General Bytes hasta que actualicen sus servidores a las versiones de parche 20220725.22 y 20220531.38.

También se ha alentado a los usuarios a cambiar la configuración del firewall de su servidor para que solo se pueda acceder a la interfaz de administración de CAS desde las direcciones IP permitidas. 

General Bytes también recomendó a los consumidores que verificaran su "Configuración de criptografía de VENDER" antes de reiniciar las terminales para asegurarse de que los piratas informáticos no hubieran cambiado la configuración para que el dinero recibido se transfiriera a ellos (y no a los clientes).

Desde su fundación en 2020, General Bytes afirmó que se han realizado múltiples auditorías de seguridad, pero ninguna de ellas descubrió esta vulnerabilidad.

En particular, el ataque se produjo apenas tres días después de que la empresa hiciera anuncios públicos sobre una función de “Ayuda a Ucrania” en sus cajeros automáticos.

Últimas noticias