Computer Security La società di cambi Travelex colpita dall'attacco di...

La società di cambi Travelex colpita dall'attacco di Sodinokibi, gli hacker richiedono $ 6 milioni in riscatto

Attacco travelex di Sodinokibi ransomware Travelex, una società di cambi con sede nel Regno Unito, ha interrotto le sue operazioni dopo essere stato colpito da una sofisticata minaccia ransomware. L'attacco è avvenuto alla vigilia di Capodanno, quando la maggior parte dei dipendenti di Travelex erano in vacanza. I criminali responsabili dell'hacking sembrano essere il gruppo piuttosto prolifico di Sodinokibi , alias REvil. L'importo del riscatto iniziale è stato di $ 3 milioni, ma dopo due giorni senza ricevere il pagamento, la somma è stata raddoppiata a $ 6 milioni. Gli hacker affermano inoltre di avere avuto accesso alla rete di Travelex per un periodo di sei mesi, durante il quale sono stati in grado di scaricare 5 GB di dati sensibili, inclusi i dettagli della carta di credito dei clienti, i numeri delle assicurazioni nazionali e le date di nascita. Il gruppo Sodinokibi ha dichiarato di essere pronto a vendere le informazioni rubate se Tavelex non riesce a pagare il riscatto entro sette giorni.

Travelex è stato costretto a chiudere la sua rete di computer per contenere la diffusione del malware. Anche i siti Web dell'azienda in 30 paesi sono stati eliminati e i visitatori hanno visualizzato un messaggio di "manutenzione programmata" visualizzato su di essi nei giorni immediatamente successivi all'attacco. L'attacco di ransomware ha avuto anche conseguenze significative per i partner di Travelex che si affidavano alla società per i servizi di cambio. Tra le organizzazioni interessate vi sono banche come Sainsbury's Bank, HSBC, Barclays, First Direct, Virgin Money e Asda Money.

Travelex ha rilasciato una dichiarazione ufficiale il 7 gennaio, un'intera settimana dopo l'incidente. In esso, la società riconosce che, in effetti, alcuni dei loro dati sono stati crittografati con Sodinokibi, ma non hanno trovato prove che i "dati personali strutturati dei clienti" fossero stati crittografati. Non sono riusciti a trovare prove del fatto che gli hacker abbiano esfiltrato alcun dato.

La società ha atteso mesi per correggere vulnerabilità critiche

I ricercatori della sicurezza hanno sottolineato il ritmo lento con cui Travelex ha affrontato i problemi di sicurezza rilevati nei server VPN (Pulse Secure Virtual Private Network) che i suoi dipendenti utilizzavano per connettersi in remoto ai sistemi informatici centrali. I problemi erano abbastanza gravi per Pulse Security per emettere un avviso di avviso e patch software per gestirli nell'aprile 2019. Travelex, tuttavia, sembra aver aspettato otto mesi prima di finalmente patchare i loro server, il che lascia molto tempo per gli hacker per aver sfruttato le vulnerabilità e ottenere l'accesso alla rete.

Secondo la legge del Regno Unito, le organizzazioni che diventano vittime di una violazione dei dati hanno 72 ore di tempo per notificare all'Ufficio del Commissario per le informazioni (ICO) a meno che ritengano che la violazione dei dati non costituisca una minaccia per i diritti e le libertà delle persone. In tal caso, le organizzazioni sono tenute a conservare un registro della violazione e ad avere una spiegazione legittima del perché non hanno presentato un rapporto all'ICO. Una società che non rispetta può subire una sanzione massima del 4% del proprio fatturato globale ai sensi del Regolamento generale sulla protezione dei dati (GDPR).

Sodinokibi ha preso il posto di GandCrab come miglior servizio ransomware come servizio

Sodinokibi è attivo sul fronte del ransomware dall'aprile 2019. Il gruppo è emerso dopo che i criminali dietro il famigerato GandCrab Ransomware hanno annunciato che si stanno ritirando dopo presumibilmente incassare milioni in pagamenti di riscatto. Sebbene non sia confermato, molti analisti della sicurezza informatica credono che alcune delle persone dietro le operazioni di CandGrab possano essere passate a Sodinokibi a causa di alcune sorprendenti somiglianze nel codice delle due minacce ransomware.

Pur minacciando di rilasciare dati rubati durante numerosi attacchi ransomware precedenti, il gruppo Sodinokibi non ha finora seguito le loro parole. Tutto è cambiato il 10 gennaio quando un rappresentante per gli hacker ha dichiarato che stanno iniziando a mantenere le promesse e hanno caricato collegamenti a circa 337 MB di dati in un post su un forum di hacker russo. I dati provengono da Artech Information Systems, una delle più grandi società di personale IT al mondo.

Travelex pubblica aggiornamenti sul suo recupero dall'attacco

Il 12 gennaio Travelex ha pubblicato una dichiarazione aggiornata sui suoi siti. La società ha informato i propri clienti e partner di aver ripristinato con successo alcuni dei suoi sistemi interni e di elaborazione degli ordini. Il prossimo passo è riportare online i sistemi responsabili dell'elaborazione elettronica degli "ordini dei clienti all'interno delle reti dei propri partner e delle proprie filiali al dettaglio". Inoltre, Travelex prevede di rilasciare una roadmap di recupero ad un certo punto nella settimana successiva.

Travelex ha inoltre ribadito che non è stata trovata alcuna prova per i dati dei clienti esfiltrati e che stanno collaborando con il National Cyber Security Center (NCSC) e la polizia metropolitana per risolvere il caso. I clienti che desiderano richiedere rimborsi o discutere di eventuali problemi sono invitati a contattare il servizio clienti locale dell'azienda.

Caricamento in corso...