-
El exchange Liquid y el servicio de minerรญa NiceHash, estรกn entre los afectados.
-
La compaรฑรญa de alojamiento web dijo que varios de sus empleados cayeron en una estafa.
Despuรฉs que varios empleados de GoDaddy fueran despojados de sus claves de acceso mediante tรฉcnicas de suplantaciรณn de identidad, los piratas informรกticos han centrado sus ataques sobre las plataformas de criptomonedas alojadas por la compaรฑรญa. Los servicios de Liquid y NiceHash reportaron amenazas recientes, aunque hay sospechas de que otras plataformas pudieran estar entre las vรญctimas.
El exchange de criptomonedas Liquid reportรณ problemas de seguridad a mediados de noviembre. En una publicaciรณn oficial, Mike Kayamori, CEO de la empresa seรฑalรณ que de manera equivocada GoDaddy habรญa cedido el control de su dominio web a un actor malintencionado.
Kayamori dijo que los ciberdelincuentes violentaron parcialmente la infraestructura del sitio, cambiaron los registros DNS, tomaron posesiรณn de varias cuentas de correo electrรณnico internas y accedieron a documentos importantes. La empresa recomendรณ a sus usuarios cambiar contraseรฑas y tomar medidas de seguridad adicionales para evitar filtraciรณn de sus datos. Aรฑadiรณ que habรญa controlado el ataque antes de que los hackers tuvieran acceso a las cuentas y activos de sus clientes.
Cuatro dรญas despuรฉs, el servicio de minerรญa de criptomonedas NiceHash, tambiรฉn informรณ que fue vรญctima de un ataque. La empresa dijo que tras detectar cambios no autorizados en la configuraciรณn de su dominio web registrado en GoDaddy, decidiรณ congelar los fondos de sus clientes durante 24 horas. De esa manera evitรณ que los atacantes pudieran transferir criptomonedas.
Matjaz Skorjanc, fundador de NiceHash, detallรณ algunos datos curiosos como que los atacantes habรญan redirigido el correo electrรณnico de la empresa hacia un sitio llamado privateemail, un proveedor de servicio administrado por Namecheap que es otro registrador de nombres de dominio. Tambiรฉn dijo que en medio del ataque no logrรณ comunicarse con su proveedor de alojamiento web porque en ese momento GoDaddy estaba experimentando una interrupciรณn generalizada de sus sistemas.
Un informe del especialista en seguridad Brian Krebs supone que otras plataformas de criptomonedas tambiรฉn fueron vรญctimas de ataque. Sus conjeturas se basan en la suma de varios elementos como el mapeo de los dominios web registrados en GoDaddy con alteraciones recientes en sus correos electrรณnicos. Luego analizรณ los dominios que fueron dirigidos a privateemail, como sucediรณ con NiceHash. Los resultados de su bรบsqueda incluyeron al exchange Bibox, el servicio de custodia de criptoactivos Celsius y la plataforma de pagos con activos digitales Wirex. Sin embargo, ninguna de estas empresas respondiรณ a las solicitudes de comentarios, como se lee en la publicaciรณn Krebs.
GoDaddy dice que sus empleados fueron engaรฑados
En respuesta a las preguntas de Krebs, GoDaddy reconociรณ que โuna pequeรฑa cantidadโ de nombres de dominio de sus clientes fueron modificados sin autorizaciรณn despuรฉs que un nรบmero โlimitadoโ de empleados cayera en un engaรฑo por suplantaciรณn de identidad o phishing. El proveedor de servicios de alojamiento web seรฑalรณ que el 17 de noviembre tambiรฉn sufriรณ un apagรณn durante tres horas, aunque descartรณ que estuviera relacionado con el incidente de seguridad. Dijo que se trataba de un problema tรฉcnico que se materializรณ durante un mantenimiento planificado de la red.
Un portavoz de GoDaddy identificado como Dan Race dijo que cuando la empresa identificรณ los cambios no autorizados en los dominios de sus clientes, inmediatamente bloqueรณ las cuentas involucradas y revirtiรณ los cambios.
Race esquivรณ las preguntas relacionadas sobre cรณmo fueron engaรฑados los empleados para que hicieran cambios no autorizados. Al respecto sรณlo dijo que el asunto aรบn estaba bajo investigaciรณn.
GoDaddy tampoco ha dado detalles sobre los ataques que en marzo afectaron a varios sitios, entre ellos el de la plataforma de servicios financieros Escrow, la cual fue redirigida a un sitio falso llamado servicenow-godaddy.com. En su informe Krebs sugiere que los atacantes detrรกs de los incidentes de principios de aรฑo y el actual pueden estar relacionados y ser consecuencia de la misma tรฉcnica de suplantaciรณn de identidad para obtener las claves de acceso.
En mayo, GoDaddy informรณ una violaciรณn de seguridad que resultรณ en acceso no autorizado a cuentas con SSH, Secure Shell o protocolo de administraciรณn de servidores de manera remota, en la infraestructura de alojamiento de la empresa. La compaรฑรญa dijo que no habรญa encontrado evidencia de manipulaciรณn que hubiera afectado a los clientes. No obstante, luego dijo que proporcionarรญa herramientas de seguridad gratuitas durante un aรฑo, a todos los afectados.