Foreign Exchange Company Travelex Hit af Sodinokibi Attack, kræver hackere 6 millioner dollars i løsepenge

Travelex, et britisk-baseret valutaselskab, fik sine operationer afbrudt, efter at det blev ramt af en sofistikeret ransomware-trussel. Angrebet fandt sted på nytårsaften, da de fleste af Travelex's ansatte var på ferie. De kriminelle, der er ansvarlige for hacket, ser ud til at være den ret produktive Sodinokibi-gruppe , også kendt som REvil. Det oprindelige løsepenge var $ 3 millioner, men efter to dage uden at modtage betaling blev summen fordoblet til $ 6 millioner. Hackerne hævder også at have haft adgang til Travelex's netværk i en periode på seks måneder, hvor de var i stand til at downloade 5 GB følsomme data, herunder kunders kreditkortoplysninger, nationale forsikringsnumre og fødselsdato. Sodinokibi-gruppen har oplyst, at den er parat til at sælge den stjålne info, hvis Tavelex ikke betaler løsepenge inden for syv dage.

Travelex blev tvunget til at lukke sit computernetværk for at indeholde spredningen af malware. Virksomhedens websteder i 30 lande blev også fjernet med besøgende, der så en meddelelse om "planlagt vedligeholdelse" vist på dem i dagene umiddelbart efter angrebet. Ransomware-angrebet har også haft betydelige konsekvenser for Travelexs partnere, der har været afhængige af virksomheden for valutatjenester. Blandt de berørte organisationer er banker som Sainsbury's Bank, HSBC, Barclays, First Direct, Virgin Money og Asda Money.

Travelex afgav en officiel erklæring den 7. januar, en hel uge efter hændelsen. I det anerkender virksomheden, at nogle af deres data faktisk er krypteret med Sodinokibi, men de fandt ingen beviser for, at "strukturerede personlige kundedata" var krypteret. De kunne heller ikke finde bevis på, at nogen data var blevet filtreret af hackerne.

Virksomheden ventede måneder med at afhjælpe kritiske sårbarheder

Sikkerhedsforskere påpegede det langsomme tempo, hvormed Travelex behandlede sikkerhedsspørgsmål, der findes i Pulse Secure virtual private netværk (VPN) -serverne, som deres ansatte brugte til at oprette forbindelse eksternt til de centrale computersystemer. Problemerne var alvorlige nok til, at Pulse Security kunne udsende en rådgivende meddelelse samt softwarepatches til at håndtere dem tilbage i april 2019. Travelex ser imidlertid ud til at have ventet i otte måneder, før de endelig lappede deres servere, hvilket efterlader masser af tid til hackerne for at have udnyttet sårbarhederne og få adgang til netværket.

I henhold til britisk lov har organisationer, der bliver ofre for en dataforbrud, 72 timer til at underrette Informationskommissærens kontor (ICO), medmindre de mener, at dataovertrædelsen ikke udgør en trussel mod folks rettigheder og friheder. I dette tilfælde er organisationerne forpligtet til at føre en fortegnelse over overtrædelsen og have en legitim forklaring på, hvorfor de ikke forelagde en rapport til ICO. Et selskab, der ikke overholder kravet, kan lide en maksimal bøde på 4% af sin globale omsætning i henhold til General Data Protection Regulation (GDPR).

Sodinokibi indtog GandCrab's sted som Top Ransomware-As-A-Service

Sodinokibi har været aktiv på ransomware-fronten siden april 2019. Gruppen dukkede op, efter at de kriminelle bag den berygtede GandCrab Ransomware annoncerede, at de går på pension efter angiveligt at have indsamlet millioner i løsepenge. Selvom det ikke er bekræftet, mener mange cybersikkerhedsanalytikere, at nogle af de mennesker, der ligger bag CandGrab-operationer, måske er gået videre til Sodinokibi på grund af nogle markante ligheder i koden for de to trusler mod ransomware.

Mens hun truede med at frigive stjålne data under flere tidligere ransomware-angreb, havde Sodinokibi-gruppen ikke fulgt deres ord indtil videre. Det hele ændrede sig den 10. januar, da en repræsentant for hackerne erklærede, at de begynder at holde deres løfter og uploade links til omkring 337 MB data i et indlæg på et russisk hackerforum. Oplysningerne stammer angiveligt fra Artech Information Systems, en af de største IT-bemanningsfirmaer i verden.

Travelex udsteder opdatering om dens gendannelse fra angrebet

Den 12. januar offentliggjorde Travelex en opdateret erklæring på sine websteder. Virksomheden informerede sine kunder og partnere om, at det med succes har gendannet nogle af sine interne og ordrebehandlingssystemer. Deres næste skridt er at bringe systemerne, der er ansvarlige for behandlingen af "kundernes ordre elektronisk inden for dets partnere og deres egne detailhandelsnetværk" tilbage online. Desuden planlægger Travelex at frigive et gendannelseskort på et tidspunkt i den følgende uge.

Travelex gentog også, at der ikke er fundet noget bevis for udfiltrerede kundedata, og at de samarbejder med National Cyber Security Center (NCSC) og Metropolitan Police for at løse sagen. Kunder, der ønsker at ansøge om refusion eller diskutere eventuelle problemer, opfordres til at kontakte virksomhedens lokale kundeservice.