Sodinokibi Attackin ostama valuuttayhtiö Travelex, hakkerit vaativat 6 miljoonaa dollaria Ransomista

Yhdistyneessä kuningaskunnassa toimiva valuuttayhtiö Travelex hävitti toimintaansa sen jälkeen, kun se sai osuuden hienostuneesta ransomware-uhasta. Hyökkäys tapahtui uudenvuodenaattona, kun suurin osa Travelexin työntekijöistä oli lomalla. Hakkeroinnista vastaavat rikolliset näyttävät olevan melko hedelmällinen Sodinokibi-ryhmä , nimeltään REvil. Alkuperäinen lunnaissumma oli 3 miljoonaa dollaria, mutta kahden päivän kuluttua ilman maksun saamista summa kaksinkertaistui 6 miljoonaan dollariin. Hakkerit väittävät myös saaneensa pääsyn Travelexin verkkoon kuuden kuukauden ajan, jonka aikana he pystyivät lataamaan 5 Gt arkaluonteisia tietoja, mukaan lukien asiakkaiden luottokorttitiedot, kansalliset vakuutusnumerot ja syntymäajat. Sodinokibi-ryhmä on ilmoittanut olevansa valmis myymään varastetut tiedot, jos Tavelex ei maksa lunnaita seitsemän päivän kuluessa.

Travelex pakotettiin sammuttamaan tietokoneverkonsa haittaohjelmien leviämisen estämiseksi. Yhtiön verkkosivut 30 maasta poistettiin myös, ja vierailijat näkivät heille hyökkäyksen jälkeisinä päivinä viestin "suunnitellusta huollosta". Ransomware-hyökkäyksellä on ollut merkittäviä seurauksia myös Travelexin kumppaneille, jotka luottavat yritykseen valuuttapalveluihin. Vaikuttavien organisaatioiden joukossa ovat pankit, kuten Sainsbury's Bank, HSBC, Barclays, First Direct, Virgin Money ja Asda Money.

Travelex antoi virallisen lausunnon 7. tammikuuta, täyden viikon tapahtuman jälkeen. Siinä yritys myöntää, että osa heidän tiedoistaan on todella salattu Sodinokibilla, mutta he eivät löytäneet todisteita siitä, että "jäsennellyt henkilökohtaiset asiakastiedot" olisivat salattuja. He eivät myöskään löytäneet todisteita siitä, että hakkerit olisivat suodattaneet tietoja.

Yritys odotti kuukausia kriittisten haavoittuvuuksien korjaamiseen

Turvallisuustutkijat huomauttivat, että Travelex käsitteli hitaasti turvallisuuskysymyksiä, joita löydettiin VPN-palvelimilta Pulse Secure, jonka työntekijät käyttivät etäyhteyteen keskusjärjestelmiin. Ongelmat olivat riittävän vakavia, jotta Pulse Security julkaisi neuvoa-antavan huomautuksen ja ohjelmistokorjauksia niiden käsittelemiseksi takaisin huhtikuussa 2019. Travelex näyttää kuitenkin odottaneen kahdeksan kuukautta ennen lopullista korjaamista palvelimilleen, mikä jättää paljon aikaa hakkerit ovat hyödyntäneet haavoittuvuuksia ja päässeet verkkoon.

Yhdistyneen kuningaskunnan lainsäädännön mukaan organisaatioilla, jotka joutuvat tietosuojarikkomusten uhreiksi, on 72 tuntia aikaa ilmoittaa siitä tiedotusasiamiehen toimistolle (ICO), elleivät usko, että tietojen rikkominen ei vaaranna ihmisten oikeuksia ja vapauksia. Siinä tapauksessa organisaatioiden on pidettävä kirjaa rikkomuksista ja niillä on oltava perusteltu selitys miksi ne eivät toimittaneet raporttia ICO: lle. Laiminlyöty yritys voi kärsiä enintään 4%: n sakko maailmanlaajuisesta liikevaihdostaan yleisen tietosuoja-asetuksen (GDPR) nojalla.

Sodinokibi otti GandCrabin parhaan Ransomware-As-A-palveluna

Sodinokibi on ollut aktiivinen ransomware-rintamalla huhtikuusta 2019. Ryhmä syntyi sen jälkeen, kun pahamaineisen GandCrab Ransomwaren takana olevat rikolliset ilmoittivat jäävänsä eläkkeelle sen jälkeen kun oletettavasti rakesivat miljoonia lunastusmaksuja. Vaikka sitä ei vahvisteta, monet verkkoturvallisuusanalyytikot uskovat, että jotkut CandGrab-operaatioiden takana olevista ihmisistä ovat siirtyneet Sodinokibille, johtuen kahden ransomware-uhan koodin ilmeisistä yhtäläisyyksistä.

Vaikka Sodinokibi-ryhmä uhkasi julkaista varastettuja tietoja useiden aiempien ransomware-hyökkäysten aikana, se ei ollut toistaiseksi noudattanut sanojaan. Kaikki muuttui 10. tammikuuta, kun hakkereiden edustaja ilmoitti alkavansa pitää lupauksensa ja lähettää linkkejä noin 337 Mt: n tietoihin venäläisen hakkerifoorumin viestiin. Tiedot on väitetty Artech Information Systemsiltä, joka on yksi suurimmista IT-henkilöstöyrityksistä maailmassa.

Travelex julkaisee päivityksen sen palautumisesta hyökkäyksestä

Travelex julkaisi 12. tammikuuta päivitetyn lausunnon verkkosivuillaan. Yhtiö kertoi asiakkailleen ja kumppaneilleen, että se on onnistuneesti palauttanut osan sisäisistä ja tilaustenkäsittelyjärjestelmistään. Seuraava askel on tuoda "asiakkaiden tilausten sähköisestä käsittelystä vastaavat järjestelmät yhteistyökumppaneiden ja omien vähittäiskaupan sivuliikkeiden verkossa" takaisin verkkoon. Lisäksi Travelex aikoo julkaista palautumissuunnitelman jossain vaiheessa seuraavana viikolla.

Travelex toisti myös, ettei todisteita suodatetusta asiakastiedosta ole löytynyt ja että he tekevät yhteistyötä kansallisen kyberturvallisuuskeskuksen (NCSC) ja pääkaupunkipolitiikan kanssa asian ratkaisemiseksi. Asiakkaita, jotka haluavat hakea palautusta tai keskustella mahdollisista asioista, kehotetaan ottamaan yhteyttä yrityksen paikalliseen asiakaspalveluun.