Empleados de Godaddy son usados para un ataque contra exchanges criptográficos
Varios exchanges criptográficos con dominios de GoDaddy informaron cambios no autorizados.
El registrador de nombres de dominio más grande del mundo, GoDaddy, se esfuerza por proteger a sus empleados después de que la empresa descubrió que estaban siendo atacados y utilizados como parte de un ataque a varias plataformas de criptomonedas.
Los informes indican que los piratas informáticos, que aún no han sido identificados, redirigieron el correo electrónico y el tráfico web que originalmente estaba destinado a varias plataformas de comercio de criptomonedas la semana pasada. El último incidente relacionado con esto incluyó un ataque a Liquid.com, un exchange de criptomonedas, el 13 de noviembre.
El director ejecutivo, Mike Kayamori, afirmó en un informe de incidente de seguridad que “el proveedor de alojamiento de dominios ‘GoDaddy’ que administra uno de nuestros nombres de dominio principales transfirió incorrectamente el control de la cuenta y el dominio a un actor malintencionado”.
Después de conocerse este incidente, una empresa de minería de criptomonedas llamada NiceHash también descubrió que algunas de sus configuraciones para sus registros de dominio en GoDaddy se habían cambiado sin autorización. Esto significó que durante un breve período de tiempo, se redirigió el correo electrónico y el tráfico web para otro sitio.
“En las primeras horas de la mañana (UTC) del 18 de noviembre de 2020, no se pudo acceder al dominio NiceHash. El registrador de dominios GoDaddy tuvo problemas técnicos y como resultado del acceso no autorizado a la configuración del dominio, se cambiaron los registros DNS para el dominio NiceHash.com ”, explicó la compañía a sus usuarios en una publicación de blog.
Si bien no se robó nada, los cargos no autorizados se realizaron desde una dirección de Internet registrada en GoDaddy. Los atacantes también supuestamente intentaban finalizar el restablecimiento de contraseñas en varios servicios de terceros, incluidos Slack y Github.
Esta no es la primera vez que GoDaddy ha tenido problemas con las brechas de seguridad. A principios de este año, la compañía luchó con una estafa de phishing que permitió a los atacantes tomar el control de más de media docena de nombres de dominio en marzo, y 28 000 cuentas de alojamiento web se vieron comprometidas en mayo.
La investigación realizada por Farsight Security indicó que varias otras plataformas criptográficas como Bibox, Celsius Network y Wirex también pueden haber sido atacadas por el mismo grupo.
Un portavoz de GoDaddy declaró con respecto al tema, que el equipo de seguridad de la empresa “investigó y confirmó la actividad de los perpetradores, incluida la ingeniería social de un número limitado de empleados de GoDaddy”.
Sin embargo, el portavoz no especificó los medios usados para engañar a los empleados para que hicieran los cambios no autorizados, y explicó que el asunto aún está bajo investigación.