- Publicidad/Advertisement -

Micronoticia: Blockchain.info sufrió un ataque DNS que pudo obtener éxito

blockchain-info-attack-victim

LUXEMBURGO: Ayer 12 de octubre, el portal Blockchain.info, propiedad de la empresa Blockchain Luxembourg S.A., sufrió un fuerte ataque de (secuestro) en el servidor (DNS) con la finalidad de desviar a los usuarios a los servidores equivocados clones del verdadero con la finalidad de obtener las contraseñas de los buena parte de los 8 millones de Wallets que poseen dentro de ese portal. Blockchain.info informó que su sitio web estaba fuera de línea, situación que se extendió por varias horas antes de poder restaurar su servicio.

Como muchos sabrán Blockchain.info es uno de los servicios de Wallets de Bitcoin más populares en el mundo, gracias a la calidad, sencillez y seguridad de su servicio. El secuestro se produjo alrededor de las 11:00 GMT justo en el momento en que la información de DNS cambió de CloudFlare a un proveedor de alojamiento barato en Tulsa, Oklahoma, EE.UU.

No obstante, muchos usuarios del servicio notaron que el servicio estaba caído e inmediatamente comenzaron a advertir tanto en Reddit como en Twitter que el servicio estaba funcionando de forma inusual. Ante esta situación, el equipo de Blockchain Luxembourg S.A. hiceron un análisis del problema y encontraron que los servicios de (DNS) de la Blockchain.info habían sido alterados para redirigir a sus usuarios a una URL de un sitio web potencialmente malicioso.

- Publicidad/Advertisement -

Después de identificar el problema, el equipo se vió obligado a desactivar los servicios de acceso a Blockchain.info por seguridad de los usuarios, mientras reparaba el servicio (DNS), al mismo tiempo que notificaba a los usuarios en Reddit, en donde el equipo escribió: “Our DNS provider was targeted. It’s going to be several hours before our services are fully restored. The CloudFlare DNS is propagating now.” (en español “Nuestro proveedor de DNS fue blanco. Esto tomará varias horas antes de que nuestros servicios sean totalmente restaurados, El DNS de CloudFlare está propagando ahora…”

También lo notificaron vía Twitter:

Ataque

Los servidores reales:
Name Server: BETH.NS.CLOUDFLARE.COM
Name Server: JAY.NS.CLOUDFLARE.COM

Fueron sustituídos a:
Name Server: DED88057-1.HOSTWINDSDNS.COM
Name Server: DED88057-2.HOSTWINDSDNS.COM

blockchain-info-attack-alert

Peligro: Durante el ataque, todos los usuarios quedaron vulnerables en caso de robo de Bitcoin en sus Wallets o por infecciones de malware que pudieron haberse descargado a sus equipos mientras accedieron a la Web clonada. Aunque la finalidad obvia pudo haber sido robar contraseñas de las Wallets de los usuarios del servicio de Blockchain.info, no se debe descartar que éste ataque también pudo consistir en infectar los equipos de los usuarios con algún malware tipo Zero-0 Day, con lo cual ni el más confiable Antivirus pudo haberlo detectado. Recordemos que en los ataques contra la infraestructura (DNS), se permite que los atacantes puedan redirigir el tráfico de los visitantes a un nuevo sitio Web el cual puede sencillamente recopilar las credenciales de inicio de sesión de los usuarios que intentaron autentificarse en el falso portal (phishing) o pudo haber descargado secuencias de comando RPC con fines maliciosos que pueden derivar en control remoto de los PC vulnerados en el ataque, así como descarga e instalación de software malintencionado en los mismos.

blockchain-info-attack-phishing

Cabe destacar que el servicio se restableció en menos de 24 horas, pues el servicio fue recuperado alrededor de las 21:00 horas GMT, mitigando los efectos del ataque realizado. Sin embargo, el equipo de Blockchain.info, manifestó en un comunicado: “Earlier today, we discovered our DNS registrar had been compromised. We took immediate action to resolve the issue. To be abundantly cautious, we’re waiting for the DNS to propagate universally across the web before bringing our services back. Once DNS has propagated, we expect to restore services ASAP. Our sincerest apologies for any inconvenience.” (en español “El día de hoy, descubrimos que nuestro registro de DNS había sido comprometido. Hemos tomado medidas inmediatas para resolver el problema. Para ser prevenidos en abundancia, estamos esperando a que el DNS se propague universalmente a través de la web antes de llevar a nuestros servicios de DNS de nuevo. Una vez se haya propagado, esperamos que para restablecer los servicios de ASAP. Nuestras más sinceras disculpas por cualquier inconveniente…”). Los servicios ASAP a los que hacen referencia en el comunicado, son un conjunto de servicios denominados Asynchronous Services Access Protocol (ASAP) que operan sobre la base de un procedimiento en el que la llamada a un servicio, está separado de la recepción del resultado, los cuales son esenciales en la mayoría de los servicios de este tipo a nivel global.En el blog de OpenDNS, el investigador de seguridad Artsiom Holub de esa empresa escribió en un post denominado “Detecting The Recent Blockchain DNS Hijack“, que los ataques de secuestro DNS son una técnica cada vez más popular y eficaz, que ahora es utilizado por los ciberdelincuentes.

blockchain-info-attack-measures-elliot-mr-robot-type

Medidas a tomar

Si eres usuario de Blokchain.info, así no hayas accedido el día de ayer, es recomendable cambiar las contraseñas de acceso, por unas nuevas, pero si por casualidad intentaste acceder a los servicios de tu Wallet, es recomendado que revises tu PC a fondo con un buen antivirus de preferencia comercial y no gratis. Si eres de esas personas paranoicas entonces nada evitará que formatees tu equipo para estar más seguro. Y si por casualidad, ves regularmente Mr. Robot, es posible que ya hayas hasta cambiado tus discos duros. (Broma aparte..)

Fallo contenido y corregido

Lo cierto es que el problema se ha corregido y el sitio web está funcionando correctamente, el equipo de Blokchain.info, les ha recomendado a los usuarios de las Wallets y de las API que cambien sus contraseñas. Queda ahora de parte de la empresa de hosting que alojó la Web señuelo, aportar datos conlcuyentes acerca del código que alojó en sus servidores, para conocer si el ataque iba dirigido a robar contraseñas o era dirigido a infectar de malware a los usuarios de Blockchain.info o en el peor de los casos, si el ataque era destinado a realizar ambas acciones.

norse-internet-under-attack

Internet Under Attack

Como usuarios debemos comprender que todos los sistemas (unos más que otros) son vulnerables en Internet, basta con sólo ver la guerra que ocurre a diario en la Web de Norse, donde sitios y sistemas de todo el mundo son víctimas de ataques de todo tipo, pues en esa pantalla sólo vemos un grupo de ataques y no todos. Los consejos recomendables para quienes usan Wallets de servicios en línea, es habilitar las two-factor authentication (2FA), (en español autenticaciones de dos factores) la cual puede ser más tediosa, pero a la vez es más eficaz en la protección de accesos no autorizados.

international-business-times-logoPara leer más información sobre esta nota busca en IBTimes en inglés: IBTimes.co.uk: Over 8 million Bitcoin wallets left inaccessible as Blockchain.info hit with DNS hijack.

Otras fuentes: Reddit.com: /r/It looks like blockchain.info has been DNS hijacked. (self.Bitcoin), OpenDNS.com: Blog – Detecting The Recent Blockchain DNS Hijack, Blockchain.com: Blog – Security Update: Yesterday’s DNS Attack.

Sitios oficiales: Blockchain.info, Blockchain.com.

Si te ha gustado esta nota, puedes considerar hacer una donación, patrocinar nuestra Revista o simplemente regalar una propina, ingresando en este Link: EspacioBit.com.ve: Donaciones y Patrocinios 🙂

Compártelo - Share it!
  • Yum
- Publicidad/Advertisement -

Dejar respuesta

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí