Caixas eletrônicos Bitcoin hackeados por 0day e prejuízo de US$1,5 milhão

Prejuízo de US$1,5 milhão

A General Bytes fabrica caixas eletrônicos Bitcoin, permitindo que as pessoas comprem ou vendam mais de 40 criptomoedas. Os clientes podem implantar seus caixas eletrônicos usando servidores de gerenciamento autônomos ou o serviço de nuvem General Bytes.

No fim de semana, a empresa divulgou que os hackers exploraram uma vulnerabilidade de dia zero rastreada como BATM-4780 para carregar remotamente um aplicativo Java por meio da interface de serviço principal do ATM e executá-lo com privilégios de usuário ‘batm’.

“O invasor escaneou o espaço de endereço IP de hospedagem em nuvem da Digital Ocean e identificou serviços CAS em execução nas portas 7741, incluindo o serviço General Bytes Cloud e outros operadores de ATM da GB executando seus servidores na Digital Ocean (nosso provedor de hospedagem em nuvem recomendado)”, explicou a General Bytes em uma divulgação de incidente de segurança.

A empresa foi ao Twitter para pedir aos clientes que “tomem medidas imediatas” e instalem as atualizações mais recentes para proteger seus servidores e fundos de invasores.

Depois de carregar o aplicativo Java, os agentes de ameaças conseguiram executar as seguintes ações nos dispositivos comprometidos:

• Capacidade de acessar o banco de dados.
• Capacidade de ler e descriptografar chaves de API usadas para acessar fundos em carteiras e trocas quentes.
• Envie fundos de carteiras quentes.
• Baixe os nomes de usuário, seus hashes de senha e desative o 2FA.
• Capacidade de acessar os logs de eventos do terminal e verificar qualquer instância em que os clientes digitalizaram as chaves privadas no caixa eletrônico. As versões mais antigas do software ATM registravam essas informações.

A General Bytes alertou que seus clientes e seu próprio serviço de nuvem foram violados durante os ataques.

“O serviço Cloud da GENERAL BYTES foi violado, assim como os servidores autônomos de outras operadoras”, destaca o comunicado.

Embora a empresa tenha divulgado quanto dinheiro o invasor roubou, eles forneceram uma lista de endereços de criptomoedas usados ​​pelo hacker durante o ataque.

Esses endereços mostram que o hacker começou a roubar criptomoedas de servidores Bitcoin ATM em 17 de março, com o endereço Bitcoin do invasor recebendo 56,28570959 BTC, no valor de aproximadamente US$ 1.589.000, e 21,79436191 Ethereu m, no valor de aproximadamente US$ 39.000.

Embora a carteira Bitcoin ainda contenha a criptomoeda roubada, os agentes de ameaças parecem ter usado o Uniswap para converter o Ethereum roubado em USDT.

Fonte: bleeping