Devizna kompanija Travelex pogođena Sodinokibi Attackom, hakeri zahtijevaju 6 milijuna dolara otkupnine

Britanska devizna kompanija sa sjedištem u Velikoj Britaniji prekinula je poslovanje nakon što ju je pogodila sofisticirana prijetnja za otkupninu. Napad se dogodio u novogodišnjoj noći kada je većina Travelexovih zaposlenika bila na odmoru. Zločinci odgovorni za hack izgledaju kao prilično plodna grupa Sodinokibi , zvana REvil. Početni iznos otkupnine iznosio je tri milijuna dolara, ali nakon dva dana bez primanja plaćanja, iznos se udvostručio na 6 milijuna dolara. Hakeri također tvrde da su imali pristup Travelex mreži tijekom razdoblja od šest mjeseci, tijekom kojeg su mogli preuzeti 5 GB osjetljivih podataka, uključujući podatke o kreditnim karticama kupaca, brojeve nacionalnog osiguranja i datume rođenja. Sodinokibi grupa izjavila je da je spremna prodati ukradene podatke ako Tavelex ne plati otkupninu u roku od sedam dana.

Travelex je bio prisiljen isključiti svoju računalnu mrežu kako bi se spriječio širenje zlonamjernog softvera. Web stranice tvrtke u 30 zemalja također su oborene jer su posjetitelji vidjeli poruku o "planiranom održavanju" prikazanu na njima u danima odmah nakon napada. Napad protiv ransomwarea imao je i značajne posljedice za Travelexove partnere koji su se oslanjali na tvrtku u vezi s deviznim uslugama. Među pogođenim organizacijama su banke poput Sainsbury's Bank, HSBC, Barclays, First Direct, Virgin Money i Asda Money.

Travelex je službeno priopćenje izdao 7. siječnja, cijeli tjedan nakon incidenta. U njemu tvrtka priznaje da su, doista, neki od njihovih podataka šifrirani Sodinokibijem, ali nisu pronašli dokaze da su "strukturirani osobni podaci o kupcima" bili šifrirani. Nisu mogli pronaći dokaze da su i hakeri bili otkrili bilo kakve podatke.

Tvrtka je čekala mjesecima da provjeri kritične ranjivosti

Sigurnosni istraživači istaknuli su spori ritam u kojem je Travelex rješavao sigurnosna pitanja pronađena na poslužiteljima virtualne privatne mreže Pulse Secure (VPN) koje su njihovi zaposlenici koristili za daljinsko povezivanje sa središnjim računalnim sustavima. Problemi su bili dovoljno ozbiljni da je Pulse Security izdao savjetodavnu obavijest, kao i softverske zakrpe za rješavanje problema s njima u travnju 2019. Čini se da je Travelex čekao osam mjeseci prije nego što konačno prespava njihove servere, što ostavlja puno vremena za hakeri su iskoristili ranjivosti i stekli pristup mreži.

Prema britanskom zakonu, organizacije koje postanu žrtve kršenja podataka imaju 72 sata za prijavu Uredu povjerenika za informacije (ICO) osim ako ne vjeruju da kršenje podataka ne predstavlja prijetnju ljudskim pravima i slobodama. U tom su slučaju od organizacija dužni voditi evidenciju o kršenju zakona i imati legitimno objašnjenje zašto nisu podnijeli izvještaj ICO-u. Tvrtka koja se ne ispuni može pretrpjeti maksimalnu kaznu od 4% svog globalnog prometa u skladu s Općom uredbom o zaštiti podataka (GDPR).

Sodinokibi je GandCrabovo mjesto preuzeo kao vrhunski Ransomware-As-A-Service

Sodinokibi je aktivan na frontu za otkupninu od travnja 2019. Grupa se pojavila nakon što su kriminalci iza zloglasnog GandCrab Ransomwarea objavili da se povlače nakon što su navodno platili milijunske otkupnine. Iako to nije potvrđeno, mnogi analitičari kibernetičke sigurnosti vjeruju da su neki ljudi koji stoje iza operacija CandGrab možda prešli na Sodinokibi zbog nekih upečatljivih sličnosti u kodu dviju prijetnji protiv napada.

Iako je prijetila da će objaviti ukradene podatke tijekom nekoliko prethodnih napada ransomwarea, grupa Sodinokibi dosad nije slijedila njihove riječi. Sve se to promijenilo 10. siječnja kada je predstavnik za hakere izjavio da počinju održavati svoja obećanja i učitali linkove do oko 337 MB podataka u postu na ruskom hakerskom forumu. Podaci su navodno iz Artech Information Systems, jedne od najvećih IT kadrovskih tvrtki na svijetu.

Travelex izdaje ažuriranja o svom oporavku od napada

12. siječnja Travelex je na svojim web stranicama objavio ažuriranu izjavu . Tvrtka je obavijestila svoje kupce i partnere da je uspješno obnovila neke svoje interne sustave za obradu narudžbi. Sljedeći im je korak vraćanje sustava odgovornih za obradu "narudžbe kupaca elektroničkim putem unutar njegovih partnera" i vlastitih maloprodajnih mreža. Nadalje, Travelex planira objaviti plan puta za oporavak u nekom trenutku sljedećeg tjedna.

Travelex je također ponovio da nisu pronađeni dokazi za iznuđene podatke o klijentima i da rade na rješavanju slučaja s Nacionalnim centrom za cyber-sigurnost (NCSC) i metropolitanskom policijom. Kupce koji žele podnijeti zahtjev za povrat novca ili razgovarati o bilo kojem pitanju mogu se obratiti lokalnoj službi za korisnike tvrtke.