Devizová společnost Travelex Zasažený útokem Sodinokibi, hackeři požadují 6 milionů dolarů v Ransomu

Travelex, britská devizová společnost, měla své operace přerušeny poté, co ji zasáhla sofistikovaná hrozba ransomware. K útoku došlo na Silvestra, kdy byla většina zaměstnanců společnosti Travelex na dovolené. Zločinci odpovědní za hack se zdají být poměrně plodnou skupinou Sodinokibi , známou jako REvil. Počáteční výkupné činilo 3 miliony dolarů, ale po dvou dnech bez přijetí platby se částka zdvojnásobila na 6 milionů dolarů. Hackeři také tvrdí, že měli přístup do sítě Travelex po dobu šesti měsíců, během nichž si mohli stáhnout 5 GB citlivých dat, včetně údajů o kreditních kartách zákazníků, národních pojistných čísel a data narození. Skupina Sodinokibi uvedla, že je připravena prodat ukradené informace, pokud Tavelex nezaplatí výkupné do sedmi dnů.

Společnost Travelex byla nucena vypnout počítačovou síť, aby omezila šíření malwaru. Webové stránky společnosti ve 30 zemích byly také staženy, když návštěvníci viděli zprávu o „plánované údržbě", která se na nich zobrazovala ve dnech bezprostředně po útoku. Útok ransomware měl také významné důsledky pro partnery společnosti Travelex, kteří se spoléhali na společnost pro směnárenské služby. Mezi postižené organizace patří banky, jako je Sainsbury's Bank, HSBC, Barclays, First Direct, Virgin Money a Asda Money.

Travelex vydal oficiální prohlášení 7. ledna, celý týden po incidentu. V něm společnost uznává, že některá jejich data byla skutečně šifrována pomocí Sodinokibi, ale nenašli žádný důkaz o tom, že „strukturovaná osobní data zákazníků" byla šifrována. Nemohli najít ani důkaz, že hackeři nějaká data exfiltrovali.

Společnost čekala měsíce na nápravu kritických zranitelností

Výzkumníci v oblasti bezpečnosti poukázali na pomalé tempo, kterým Travelex řešil bezpečnostní problémy na serverech virtuální privátní sítě (VPN) Pulse Secure, které jeho zaměstnanci používali pro dálkové připojení k centrálním počítačovým systémům. Problémy byly natolik závažné, že Pulse Security vydala v dubnu 2019 poradní oznámení a softwarové záplaty, aby se s nimi vypořádala již v dubnu 2019. Zdá se však, že Travelex čekal osm měsíců, než konečně opravil své servery, což ponechává dostatek času pro hackeři zneužili zranitelnosti a získali přístup k síti.

Podle práva Spojeného království mají organizace, které se staly oběťmi narušení údajů, 72 hodin na to, aby to oznámily úřadu komisařů pro informace (ICO), pokud se domnívají, že porušení údajů nepředstavuje ohrožení práv a svobod lidí. V takovém případě jsou organizace povinny vést záznam o porušení a mít legitimní vysvětlení, proč nepředložily zprávu ICO. Společnost, která nedodrží podmínky, může podle obecného nařízení o ochraně údajů (GDPR) utrpět maximální pokutu ve výši 4% svého celosvětového obratu.

Sodinokibi se umístil na pozici GandCrab jako nejlepší Ransomware-As-A-Service

Sodinokibi působí na frontě ransomware od dubna 2019. Skupina se objevila poté, co zločinci za notoricky známým GandCrabem Ransomware oznámili, že odcházejí do důchodu poté, co se údajně hrabali v milionech výkupných . I když to není potvrzeno, mnoho analytiků kybernetické bezpečnosti se domnívá, že někteří lidé za operacemi CandGrab se možná přesunuli do Sodinokibi kvůli nějaké nápadné podobnosti v kódu dvou hrozeb ransomware.

Přestože skupina Sodinokibi vyhrožovala uvolněním ukradených dat během několika předchozích útoků s ransomwarem, jejich slova se dosud nedotkla. To vše se změnilo 10. ledna, když zástupce hackerů prohlásil, že začínají dodržovat své sliby a nahrávají odkazy na přibližně 337 MB dat v příspěvku na ruském hackerském fóru. Data jsou údajně od Artech Information Systems, jedné z největších společností zaměstnávajících IT na světě.

Aktualizace problémů Travelexu při jeho zotavení z útoku

12. ledna Travelex zveřejnil na svých stránkách aktualizované prohlášení . Společnost informovala své zákazníky a partnery, že úspěšně obnovila některé ze svých interních systémů a systémů zpracování objednávek. Jejich dalším krokem je přivést systémy odpovědné za elektronické zpracování „objednávky zákazníků elektronicky v rámci jejích partnerů" a do vlastních maloobchodních pobočkových sítí „online". Travelex dále plánuje vydat plán obnovy v některém okamžiku následujícího týdne.

Travelex také zopakoval, že nebyly nalezeny žádné důkazy o exfiltrovaných údajích o zákaznících a že při řešení případu spolupracují s Národním střediskem kybernetické bezpečnosti (NCSC) a Metropolitní policií. Zákazníkům, kteří chtějí požádat o vrácení peněz nebo diskutovat o jakýchkoli problémech, se doporučuje kontaktovat místní zákaznický servis společnosti.