Falha em caixas eletrônicos de Bitcoin permite furto de criptomoedas

Uma vulnerabilidade de dia zero estava permitindo o furto de criptomoedas a partir de caixas eletrônicos de Bitcoins. As máquinas, fabricadas pela General Bytes, possuíam uma brecha em seu servidor de aplicações, permitindo aos atacantes a inserção de endereços próprios ao processo de compra de ativos, fazendo com que os fundos adquiridos pelos usuários fossem diretamente para as carteiras sob o controle dos bandidos.

• 10 dicas para proteger suas criptomoedas de roubos e golpes
• O boom dos ativos digitais: a segurança depende de regulamentação consistente

Os Bitcoin ATMs, que apesar do nome operam com 40 criptomoedas diferentes, funcionam como caixas eletrônicos tradicionais, permitindo que os usuários saquem dinheiro em espécie a partir de suas contas ou, então, realizem a compra de ativos de qualquer lugar, com os fundos sendo enviados às carteiras pessoais. Era nesse segundo passo que estava a exploração propiciada pela brecha, permitindo que os valores fossem desviados dos destinos originais a endereços controlados pelos bandidos.

A exploração acontecia remotamente, a partir de caixas eletrônicos expostos na internet e sem as devidas configurações de segurança, aos quais era adicionado um usuário administrador. A partir desse perfil, os criminosos cuja identidade não foi revelada alteravam configurações de compra e venda de ativos, assim como mensagens de erro, para fazer parecer que o processo estava funcionando normalmente, enquanto embolsavam os fundos oriundos das transações dos clientes.

De acordo com as informações do site Bleeping Computer, responsável por revelar as informações sobre a falha, o ataque acontecia diretamente em servidores da General Bytes, hospedados na nuvem da Digital Ocean. Ao localizar os sistemas vulneráveis a partir de portas específicas, os criminosos simulavam o processo de primeira instalação dos caixas eletrônicos a partir de uma URL designada para criação de um novo usuário administrador, um processo que não deveria ser possível depois que as máquinas entravam em operação.

Empresa confirma falha em caixas eletrônicos

A General Bytes confirmou a existência da brecha de dia zero e afirmou que ela está disponível em caixas eletrônicos que funcionam desde dezembro de 2020. A empresa confirmou que a falha foi explorada por atacantes, mas não falou em valores perdidos, pedindo apenas que os donos de estabelecimentos apliquem as atualizações 20220531.38 e 20220725.22, já disponíveis, o mais rapidamente possível, ou interrompam a operação caso isso não seja possível.

A revelação também demonstra mais um caso em que a demora para aplicação de patches pode levar a ataques cibercriminosos. De acordo com a empresa de inteligência de ameaças BinaryEdge, até o último final de semana, 18 caixas eletrônicos ainda estavam expostos na internet e suscetíveis à exploração maliciosa. A maior parte deles está localizado no Canadá.

Além da aplicação das atualizações, a General Bytes recomendou o uso de firewalls e o fechamento de portas públicas com a internet como medidas de maior proteção aos Bitcoin ATMs. Regras devem ser criadas para permitir que o acesso a servidores seja permitido somente a partir de IPs e dispositivos conhecidos ou a partir de redes locais, fechando a possibilidade de intrusão por terceiros maliciosos.

Fonte: Bleeping Computer, General Bytes