El ataque “Zero Day” tuvo lugar el jueves contra el fabricante de cajeros automáticos de Bitcoin, General Bytes, hizo posible que los hackers se establecieran como administradores por defecto y transfirieran todo el dinero a su dirección de cartera.
Aunque se desconoce cuántos cajeros automáticos se vieron comprometidos o cuánto dinero se llevaron, la empresa ha recomendado encarecidamente a los operadores de cajeros que actualicen el software de sus máquinas.
El jueves, General Bytes reconoció que había sido víctima de un ciberataque. La empresa opera 8827 cajeros automáticos de Bitcoin en 120 países. Tanto las oficinas corporativas como los cajeros automáticos se encuentran en Praga, que está situada en la República Checa. Los clientes que acuden a un cajero automático pueden comprar e intercambiar más de 40 monedas diferentes.
Las alteraciones realizadas por el hacker El jueves, el software del CAS se actualizó a la versión 20201208.
Se ha pedido a los clientes de General Bytes que no utilicen sus servidores de cajeros automáticos hasta que se hayan instalado en sus ordenadores los parches 20220725.22 y 20220531.38 de la empresa.
Se ha recomendado a los clientes que cambien la configuración de los cortafuegos de sus servidores para que sólo se pueda acceder a la interfaz de administración del CAS desde direcciones IP previamente aprobadas.
General Bytes emitió una advertencia a los clientes antes de reactivar los terminales, indicándoles que verificasen su “SELL Crypto Setting” para asegurarse de que no había sido alterado por los hackers con el fin de transferirles fondos a ellos (y no a los clientes).
Desde el año 2020, General Bytes ha llevado a cabo varias auditorías de seguridad, sin embargo ninguna de ellas descubrió esta vulnerabilidad.
Detalles del ataque
Según el equipo de asesores de seguridad de General Bytes, los delincuentes explotaron una vulnerabilidad de día cero para poder acceder al Crypto Application Server (CAS) de la empresa y robar los fondos.
El servidor CAS se encarga de supervisar todo el funcionamiento del cajero automático, incluyendo las compras realizadas en los intercambios de criptodivisas y las monedas que son compatibles.
“escaneó los puertos TCP 7777 o 443 expuestos, incluyendo los servidores en la nube de General Bytes”, cree la empresa que hicieron los hackers.
A continuación, los hackers se añadieron a sí mismos como administradores por defecto en el CAS, apodado gb, y ajustaron la configuración de “compra” y “venta” de tal manera que cualquier criptodivisa que recibiera el cajero de Bitcoin sería transferida a la dirección de la cartera del hacker.