General Bytes ha vendido más de 15.137 terminales en 149 países
El fabricante de cajeros automáticos de Bitcoin, General Bytes, reveló que actores de amenazas no identificados robaron criptomonedas de billeteras calientes al explotar una falla de seguridad de día cero en su software.
"El atacante pudo cargar de forma remota su propia aplicación Java a través de la interfaz de servicio maestra utilizada por las terminales para cargar vídeos y ejecutarla con privilegios de usuario 'BATM'", dijo la compañía en un aviso publicado el fin de semana.
"El atacante escaneó el espacio de direcciones IP de alojamiento en la nube de Digital Ocean e identificó la ejecución de servicios CAS en los puertos 7741, incluido el servicio General Bytes Cloud y otros operadores de cajeros automáticos de GB que ejecutan sus servidores en Digital Ocean", agregó.
La compañía dijo que el servidor al que se cargó la aplicación Java maliciosa estaba configurado de forma predeterminada para iniciar las aplicaciones presentes en la carpeta de implementación ("/batm/app/admin/standalone/deployments/").
Al hacerlo, el ataque permitió al actor de amenazas acceder a la base de datos; leer y descifrar claves de API utilizadas para acceder a fondos en monederos calientes e intercambios; enviar fondos desde las billeteras; descargue nombres de usuario, hash de contraseñas y desactivar la autenticación de dos factores (2FA); e incluso acceder a los registros de eventos de la terminal.
General Bytes, según su web, ha vendido más de 15.137 terminales en 149 países. Admite más de 180 monedas fiduciarias y colectivamente ha realizado casi 22,6 millones de transacciones en todo el mundo.
Los BATM están diseñados para conectarse a un servidor de aplicaciones criptográficas (CAS), que son administrados por el cliente o por la propia empresa en la nube a través de la infraestructura proporcionada por Digital Ocean.
También advirtió que su propio servicio en la nube, así como los servidores independientes de otros operadores, se infiltraron como resultado del incidente, lo que llevó a la empresa a cerrar el servicio.
Además de instar a los clientes a mantener sus servidores de aplicaciones criptográficas (CAS) detrás de un firewall y una VPN, también recomienda rotar las contraseñas de todos los usuarios y las claves API para los intercambios y las billeteras calientes.
"La corrección de seguridad de CAS se proporciona en dos versiones de parches de servidor, 20221118.48 y 20230120.44", dijo General Bytes en el aviso.
La compañía enfatizó además que había realizado múltiples auditorías de seguridad desde 2021 y que ninguna de ellas señaló esta vulnerabilidad. Parece que no se ha parcheado desde la versión 20210401.
General Bytes no reveló la cantidad exacta de fondos robados por los piratas informáticos, pero un análisis de las billeteras de criptomonedas utilizadas en el ataque revela la recepción de 56.283 BTC (1,5 millones de dólares), 21.823 ETH (36.500 dólares) y 1.219.183 LTC (96.500 dólares).
El hackeo de cajeros automáticos es la segunda vulneración dirigida a General Bytes en menos de un año, con otra falla de día cero en sus servidores de cajeros automáticos explotada para robar criptografía de sus clientes en agosto de 2022.
