Συναλλαγματική εταιρία Travelex, η οποία επλήγη από την επίθεση Sodinokibi, απαιτεί από τους χάκερ $ 6 εκατ.

Η Travelex, μια εταιρεία συναλλάγματος με έδρα το Ηνωμένο Βασίλειο, είχε διαταράξει τις δραστηριότητές της, αφού έπληξε μια εξελιγμένη απειλή ransomware. Η επίθεση έλαβε χώρα την παραμονή της Πρωτοχρονιάς, όταν οι περισσότεροι υπάλληλοι της Travelex ήταν σε διακοπές. Οι εγκληματίες που ευθύνονται για το hack φαίνεται να είναι η μάλλον παραγωγική ομάδα Sodinokibi , γνωστή και ως Revil. Το αρχικό ποσό λύτρα ήταν 3 εκατομμύρια δολάρια, αλλά μετά από δύο ημέρες χωρίς να λάβει πληρωμή, το ποσό διπλασιάστηκε στα 6 εκατομμύρια δολάρια. Οι χάκερ ισχυρίζονται επίσης ότι είχαν πρόσβαση στο δίκτυο της Travelex για περίοδο έξι μηνών κατά τη διάρκεια της οποίας ήταν σε θέση να κάνουν λήψη 5GB ευαίσθητων δεδομένων, συμπεριλαμβανομένων των στοιχείων πιστωτικών καρτών των πελατών, των εθνικών αριθμών ασφάλισης και των ημερομηνιών γέννησης. Ο όμιλος Sodinokibi δήλωσε ότι είναι διατεθειμένος να πουλήσει τις κλεμμένες πληροφορίες αν η Tavelex δεν καταβάλει τα λύτρα εντός επτά ημερών.

Η Travelex αναγκάστηκε να τερματίσει το δίκτυο υπολογιστών της, προκειμένου να περιορίσει την εξάπλωση του κακόβουλου λογισμικού. Οι ιστότοποι της εταιρείας σε 30 χώρες καταλήφθηκαν επίσης με τους επισκέπτες να βλέπουν ένα μήνυμα για "προγραμματισμένη συντήρηση" που εμφανίζεται σε αυτές τις ημέρες αμέσως μετά την επίθεση. Η επίθεση ransomware είχε επίσης σημαντικές συνέπειες για τους εταίρους της Travelex που βασίζονταν στην εταιρεία για υπηρεσίες συναλλάγματος. Μεταξύ των επηρεαζόμενων οργανισμών είναι οι τράπεζες όπως η Τράπεζα της Sainsbury, η HSBC, η Barclays, η First Direct, η Virgin Money και η Asda Money.

Η Travelex εξέδωσε επίσημη δήλωση στις 7 Ιανουαρίου, μια πλήρη εβδομάδα μετά το συμβάν. Σε αυτήν, η εταιρεία αναγνωρίζει ότι, πράγματι, ορισμένα από τα δεδομένα της έχουν κρυπτογραφηθεί με το Sodinokibi, αλλά δεν βρήκαν στοιχεία ότι τα "δομημένα προσωπικά δεδομένα πελατών" είχαν κρυπτογραφηθεί. Δεν μπόρεσαν να βρουν στοιχεία που να αποδεικνύουν ότι κάποια από τα δεδομένα είχαν εξοντωθεί από τους χάκερς.

Η εταιρεία περίμενε μερικούς μήνες για να καλύψει τα κρίσιμα ευπάθειες

Οι ερευνητές της ασφάλειας επεσήμαναν τον αργό ρυθμό με τον οποίο αντιμετώπισε το Travelex τα ζητήματα ασφάλειας που εντοπίστηκαν στους διακομιστές εικονικού ιδιωτικού δικτύου Pulse Secure (VPN) που οι υπάλληλοί του χρησιμοποιούν για να συνδέονται εξ αποστάσεως στα κεντρικά συστήματα υπολογιστών. Τα προβλήματα ήταν αρκετά σοβαρά για την Pulse Security να εκδώσουν συμβουλευτική ειδοποίηση καθώς και ενημερώσεις κώδικα λογισμικού για να τις αντιμετωπίσει τον Απρίλιο του 2019. Ωστόσο, η Travelex φαίνεται να έχει περιμένει οκτώ μήνες πριν επιδιορθώσει τελικά τους διακομιστές, πράγμα που αφήνει αρκετό χρόνο για οι χάκερ να έχουν εκμεταλλευτεί τις ευπάθειες και να αποκτήσουν πρόσβαση στο δίκτυο.

Σύμφωνα με το βρετανικό δίκαιο, οι οργανώσεις που πέφτουν θύματα παραβίασης των δεδομένων έχουν 72 ώρες να ενημερώσουν το γραφείο του Επιτρόπου Πληροφόρησης (ICO), εκτός εάν πιστεύουν ότι η παραβίαση δεδομένων δεν αποτελεί απειλή για τα δικαιώματα και τις ελευθερίες των ανθρώπων. Στην περίπτωση αυτή, οι οργανισμοί υποχρεούνται να τηρούν αρχείο της παραβίασης και να έχουν εύλογη εξήγηση για το λόγο για τον οποίο δεν υπέβαλαν έκθεση στο ICO. Μια εταιρεία που δεν συμμορφώνεται μπορεί να υποστεί ανώτατο πρόστιμο ύψους 4% του συνολικού κύκλου εργασιών σύμφωνα με τον Κανονισμό Γενικής Προστασίας Δεδομένων (GDPR).

Το Sodinokibi πήρε τη θέση του GandCrab ως Top Ransomware-As-A-Service

Η Sodinokibi δραστηριοποιείται στο μέτωπο των ransomware από τον Απρίλιο του 2019. Η ομάδα προέκυψε αφού οι εγκληματίες πίσω από το διαβόητο GandCrab Ransomware ανακοίνωσαν ότι συνταξιοδοτούνται μετά από υποτιθέμενη κατάργηση εκατομμυρίων σε πληρωμές λύτρας. Αν και δεν έχει επιβεβαιωθεί, πολλοί αναλυτές του cybersecurity πιστεύουν ότι μερικοί από τους ανθρώπους που βρίσκονται πίσω από τις επιχειρήσεις CandGrab ενδέχεται να έχουν μετακινηθεί στο Sodinokibi λόγω κάποιων εντυπωσιακών ομοιοτήτων στον κώδικα των δύο απειλών ransomware.

Ενώ απειλούσε να απελευθερώσει κλεμμένα δεδομένα κατά τη διάρκεια αρκετών προηγούμενων επιθέσεων ransomware, η ομάδα Sodinokibi δεν είχε ακολουθήσει τα λόγια τους μέχρι στιγμής. Ότι όλα άλλαξαν στις 10 Ιανουαρίου όταν ένας εκπρόσωπος για τους χάκερ δήλωσε ότι αρχίζουν να τηρούν τις υποσχέσεις τους και ανεβάζουν συνδέσμους σε περίπου 337MB δεδομένων σε μια ανάρτηση σε ένα ρωσικό φόρουμ χάκερ. Τα στοιχεία υποτίθεται ότι προέρχονται από την Artech Information Systems, μια από τις μεγαλύτερες εταιρίες πληροφορικής παγκοσμίως.

Travelex Issues Ενημέρωση για την ανάκτηση του από την επίθεση

Την 12η Ιανουαρίου, η Travelex δημοσίευσε μια ενημερωμένη δήλωση σχετικά με τους ιστοτόπους της. Η εταιρεία ενημέρωσε τους πελάτες και τους συνεργάτες της ότι έχει αποκαταστήσει με επιτυχία ορισμένα από τα εσωτερικά και τα συστήματα επεξεργασίας των παραγγελιών της. Το επόμενο βήμα είναι να φέρουν τα ηλεκτρονικά συστήματα που είναι υπεύθυνα για την επεξεργασία των «πελατών» ηλεκτρονικά στα δίκτυα των συνεργατών τους και στα δικά τους καταστήματα λιανικής ». Επιπλέον, η Travelex σχεδιάζει να κυκλοφορήσει έναν χάρτη πορείας ανάκτησης σε κάποια στιγμή την επόμενη εβδομάδα.

Η Travelex επανέλαβε επίσης ότι δεν έχει βρεθεί κανένα στοιχείο για την εξαφάνιση δεδομένων πελατών και ότι συνεργάζονται με το Εθνικό Κέντρο Ασφάλειας Cyber (NCSC) και την Μητροπολιτική Αστυνομία για την επίλυση της υπόθεσης. Οι πελάτες που επιθυμούν να υποβάλουν αίτηση επιστροφής χρημάτων ή να συζητήσουν τυχόν ζητήματα ενθαρρύνονται να επικοινωνήσουν με την τοπική εξυπηρέτηση πελατών της εταιρείας.