Hacker usó ransomware para atrapar víctimas en sus cinturones de castidad de IoT

Los usuarios del dispositivo de castidad Qiui Cellmate controlado por Bluetooth fueron el objetivo de un ataque con este malware el año pasado, después de que los investigadores de seguridad encontraron una vulnerabilidad en el juguete que les permitió bloquearlo de forma remota.

Qiui Cellmante es un juguete sexual conectado a una aplicación complementaria para controlar su bloqueo / desbloqueo a través de Bluetooth, que suele ser gestionado por otra persona que no sea la persona que utiliza el dispositivo.

En octubre de 2020, los investigadores de Pen Test Partners publicaron detalles sobre una vulnerabilidad grave que permitía a un atacante remoto tomar el control de cualquier dispositivo Qiui Cellmate.

Descubrieron que realizar una solicitud a cualquier punto final de API no requería autenticación y que el uso de un «código de amigo» de seis dígitos devolvería «mucha información sobre ese usuario», como ubicación, número de teléfono, contraseña en texto plano.

«Un atacante no tardaría más de unos días en extraer la base de datos completa del usuario y usarla para chantajear o phishing», escribió Pen Test Partners en su informe.

Después de la divulgación, un atacante comenzó a apuntar a los usuarios de la aplicación móvil Qiui Cellmate que controlaban el juguete inteligente y bloqueaban el dispositivo de castidad. Las víctimas se enojaron entonces, el hacker exigió 0.02 bitcoins, alrededor de $ 270 en el momento de los ataques, para desbloquear los cinturones de castidad.

El fundador del grupo de investigación VXUnderground le dijo al personal de BleepingComputer que publicó el código fuente del ransomware ChastityLock después de recibirlo de alguien que fue chantajeado por el atacante.

El malware incluye un código que se comunica con los puntos finales de la API de Qiui para enumerar la información del usuario y enviar mensajes a la aplicación de la víctima y agregar amigos, según un análisis del investigador de seguridad Ax Sharma.

Poco después de que comenzaran los ataques, los usuarios víctimas recibieron una avalancha de quejas que informaron que ya no podían controlar el juguete inteligente para adultos. Algunos de ellos fueron víctimas del invasor en varias ocasiones.

A algunos usuarios les preocupaba que la única forma de quitar el dispositivo Cellmate fuera cortándolo, ya que no había un reemplazo manual para el bloqueo de Bluetooth. Sin embargo, cortar el acero endurecido utilizado para la cerradura requería una amoladora angular y, dada la zona sensible, estaba lejos de ser una opción para las víctimas.

Afortunadamente, estaban disponibles algunas posibilidades de escape de emergencia. Una era contactar al soporte remoto y pedirles que desbloquearan y reiniciaran Cellmate. Otro involucró solo un destornillador para desbloquear el dispositivo manualmente, y Qiui publicó un video que muestra cómo hacer esto. Esto último anularía la garantía del producto.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *