A Sodinokibi Attack által meghirdetett Travelex cég, a hackerek 6 millió dollárt igényelnek Ransomban

A Travelex, az Egyesült Királyságban működő devizavállalat megszakította működését, miután kifinomult ransomware fenyegetést kapott. A támadást szilveszteri estén tartották, amikor a Travelex legtöbb alkalmazottja nyaralott. Úgy tűnik, hogy a hackelésért felelős bűnözők a meglehetősen termékeny Sodinokibi csoport , más néven REvil. A kezdeti váltságdíj 3 millió dollár volt, de két nap elteltével, kifizetés nélkül, az összeg megduplázódott, 6 millió dollárra. A hackerek azt is állítják, hogy hat hónapig hozzáfértek a Travelex hálózatához, amelynek során 5 GB-os érzékeny adatokat töltöttek le, ideértve az ügyfelek hitelkártya-adatait, az országos biztosítási számokat és a születési időket. A Sodinokibi csoport kijelentette, hogy kész ellopni az ellopott információkat, ha a Tavelex hét napon belül nem fizeti meg a váltságdíjat.

A Travelexet arra kényszerítették, hogy állítsa le számítógépes hálózatát a malware elterjedésének megakadályozása érdekében. A társaság 30 országának weboldalait szintén leállították, és a látogatók a támadás utáni napokban megjelenített „tervezett karbantartás" üzenetet jelentettek rajtuk. A ransomware támadásnak jelentős következményei voltak a Travelex partnereire is, akik a társaságra támaszkodtak a devizaszolgáltatások terén. Az érintett szervezetek között vannak olyan bankok, mint a Sainsbury's Bank, a HSBC, a Barclays, az First Direct, a Virgin Money és az Asda Money.

A Travelex január 7-én, egy héttel az esemény után, hivatalos nyilatkozatot adott ki. Ebben a vállalat elismeri, hogy valójában egyes adataikat a Sodinokibi rejtjelezte, de nem találtak bizonyítékot arra, hogy a "strukturált személyes ügyféladatokat" titkosították volna. Nem találtak bizonyítékot arra, hogy a hackerek semmi adatot kiszűrtek volna.

A vállalat hónapokon át várt a kritikus biztonsági rések javításához

A biztonsági kutatók rámutattak arra a lassú ütemre, amellyel a Travelex foglalkozott a Pulse Secure virtuális magánhálózat (VPN) szerverein található biztonsági kérdésekkel, amelyeket alkalmazottai távolról csatlakoztattak a központi számítógépes rendszerekhez. A problémák elég súlyosak voltak ahhoz, hogy a Pulse Security 2019. áprilisában tanácsadói értesítést és szoftvercsatlakozásokat bocsásson ki velük való kezelésükhöz. Úgy tűnik, hogy a Travelex nyolc hónapig várt, mielőtt végül javítanák a szervereiket, ami sok időt hagy a a hackerek, hogy kihasználják a sebezhetőségeket és hozzáférjenek a hálózathoz.

Az Egyesült Királyság joga szerint az adatok megsértésének áldozatává váló szervezeteknek 72 órán belül kell értesíteniük az Információs Biztossági Irodát (ICO), kivéve, ha úgy vélik, hogy az adatok megsértése nem jelent fenyegetést az emberek jogainak és szabadságainak. Ebben az esetben a szervezeteknek nyilvántartást kell vezetniük a jogsértésről, és jogos magyarázattal kell rendelkezniük arról, hogy miért nem nyújtottak be jelentést az ICO-nak. Az a társaság, amely nem tesz eleget, az általános adatvédelmi rendelet (GDPR) alapján a teljes forgalmának legfeljebb 4% -át károsítja.

A Sodinokibi a GandCrab helyét a legjobb Ransomware-as-A-Service-ként vette át

A Sodinokibi 2019. április óta aktív a ransomware fronton. A csoport akkor alakult ki, amikor a hírhedt GandCrab Ransomware mögött maradt bűnözők bejelentették, hogy nyugdíjba vonulnak, miután állítólag több millió összeget fizetnek váltságdíj formájában. Noha ezt nem erősítik meg, sok kiberbiztonsági elemző úgy gondolja, hogy a CandGrab műveletei mögött álló személyek egy része valószínűleg a Sodinokibiban költözött a két ransomware fenyegetés kódjának feltűnő hasonlóságai miatt.

Míg a korábbi ransomware támadások során azzal fenyegetőzött, hogy lopott adatokat bocsátanak ki, a Sodinokibi csoport eddig nem folytatta a szavaikat. Mindez január 10-én megváltozott, amikor a hackerek képviselője kijelentette, hogy elkezdi tartani ígéretét, és körülbelül 337 MB adatcsatlakozást tölt fel egy orosz hackerek fórumában található üzenetben. Az adatok állítólag az Artech Information Systems, a világ egyik legnagyobb informatikai alkalmazotti társaságától származnak.

A Travelex frissítést készít a támadásból való helyreállításról

Január 12-én a Travelex frissített nyilatkozatot tett közzé webhelyein. A társaság tájékoztatta ügyfeleit és partnereit, hogy sikeresen helyreállította belső és rendelésfeldolgozási rendszerét. Következő lépésük az, hogy az „ügyfelek megrendeléseinek elektronikus feldolgozása partnereik és a saját kiskereskedelmi fiókhálózataikon belül" elektronikus visszatérítést kapjon. Ezenkívül a Travelex a helyreállítási ütemtervet a következő héten egy bizonyos ponton tervezi kiadni.

A Travelex azt is megismételte, hogy nem találtak bizonyítékot a kiszivárogtatott ügyféladatokra, és hogy együtt dolgoznak a Nemzeti Kiberbiztonsági Központtal (NCSC) és a Fővárosi Rendõrséggel az eset megoldásában. A visszatérítés iránti kérelmet vagy bármely kérdést megvitatni szándékozó ügyfeleket arra ösztönzik, hogy vegye fel a kapcsolatot a vállalat helyi ügyfélszolgálatával.