Computer Security Užsienio valiutų kompanija „Travelex“, nukentėjusi nuo...

Užsienio valiutų kompanija „Travelex“, nukentėjusi nuo „Sodinokibi Attack“, piratai reikalauja 6 milijonų dolerių Ransom mieste

„Sodinokibi JK užsienio valiutų keitimo kompanijos „Travelex" veikla nutrūko po to, kai ją užklupo sudėtinga išpirkos programinė įranga. Išpuolis įvyko Naujųjų metų išvakarėse, kai dauguma „Travelex" darbuotojų atostogavo. Atrodo, kad nusikaltėliai, atsakingi už įsilaužimą, yra gana produktyvi „ Sodinokibi" grupė , dar žinoma kaip „REvil". Pradinė išpirkos suma buvo 3 milijonai dolerių, tačiau po dviejų dienų negavus išmokos, ši suma padidėjo dvigubai - iki 6 milijonų dolerių. Piratai taip pat teigia turintys prieigą prie „Travelex" tinklo šešis mėnesius, per kuriuos jie galėjo atsisiųsti 5 GB neskelbtinų duomenų, įskaitant klientų kreditinių kortelių duomenis, nacionalinio draudimo numerius ir gimimo datas. „Sodinokibi" grupė pareiškė, kad yra pasirengusi parduoti pavogtą informaciją, jei „Tavelex" nesumokės išpirkos per septynias dienas.

„Travelex" buvo priversta išjungti savo kompiuterių tinklą, kad būtų sustabdytas kenkėjiškų programų plitimas. Bendrovės tinklalapiai 30-yje šalių taip pat buvo panaikinti, lankytojai iškart po išpuolio matė pranešimą apie „planuojamą techninę priežiūrą". Išpirkos programos išpuolis taip pat turėjo reikšmingų padarinių „Travelex" partneriams, kurie pasitikėjo įmone dėl užsienio valiutos keitimo paslaugų. Tarp paveiktų organizacijų yra bankai, tokie kaip „Sainsbury's Bank", HSBC, „Barclays", „First Direct", „Virgin Money" ir „Asda Money".

„Travelex" paskelbė oficialų pranešimą sausio 7 d., Praėjus visai savaitei po incidento. Jame bendrovė pripažįsta, kad iš tikrųjų kai kurie jų duomenys buvo užšifruoti „Sodinokibi", tačiau jie nerado jokių įrodymų, kad buvo užšifruoti „struktūruoti asmeniniai klientų duomenys". Jie taip pat negalėjo rasti įrodymų, kad įsilaužėliai taip pat išaiškino bet kokius duomenis.

Bendrovė laukė mėnesių, kol ištaisys kritinius pažeidžiamumus

Saugumo tyrėjai atkreipė dėmesį į lėtą tempą, kuriuo „Travelex" sprendė saugumo problemas, aptinkamas „Pulse Secure" virtualiojo privataus tinklo (VPN) serveriuose, kuriuos jos darbuotojai naudojo nuotoliniu būdu jungdamiesi prie centrinių kompiuterių sistemų. Problemos buvo pakankamai rimtos, kad „Pulse Security" paskelbtų patariamąjį pranešimą ir programinės įrangos pataisas, kad jas spręstų dar 2019 m. Balandžio mėn. Tačiau atrodo, kad „Travelex" laukė aštuonis mėnesius, kol galutinai pataisė savo serverius, o tai palieka daug laiko įsilaužėlių, kad išnaudotų pažeidžiamumus ir gautų prieigą prie tinklo.

Pagal JK įstatymus, organizacijos, tapusios duomenų pažeidimo aukomis, per 72 valandas turi pranešti Informacijos komisaro biurui (ICO), nebent jos mano, kad duomenų pažeidimas nekelia grėsmės žmonių teisėms ir laisvėms. Tokiu atveju reikalaujama, kad organizacijos tvarkytų pažeidimus ir turėtų teisėtą paaiškinimą, kodėl jos nepateikė ataskaitos ICO. Neįvykdžiusi įmonė gali patirti maksimalią baudą - 4% visos savo apyvartos pagal Bendrąjį duomenų apsaugos reglamentą (GDPR).

„Sodinokibi" užėmė „GandCrab" vietą kaip geriausią „Ransomware-As-A-Service"

„Sodinokibi" nuo 2019 m. Balandžio mėn. Veikė išpirkos programinės įrangos srityje. Grupė atsirado po to, kai nusikaltėliai už garsaus „ GandCrab Ransomware" paskelbė pasitraukiantys po tariamai milijonų išpirkos mokėjimų. Nors tai nepatvirtinta, daugelis kibernetinio saugumo analitikų mano, kad kai kurie žmonės, atsakingi už „CandGrab" operacijas, galėjo perkelti į „Sodinokibi" dėl tam tikrų ryškių dviejų išpirkos programinės įrangos grėsmių kodo panašumų.

Grasindama pavogti duomenis per keletą ankstesnių išpirkos programų išpuolių, „Sodinokibi" grupė iki šiol nesilaikė savo žodžių. Viskas pasikeitė sausio 10 d., Kai įsilaužėlių atstovas pareiškė, kad jie pradeda vykdyti savo pažadus ir įkelti nuorodas į maždaug 337 MB duomenų Rusijos paštininkų forume. Duomenys tariamai gauti iš „Artech Information Systems" - vienos didžiausių IT personalo kompanijų pasaulyje.

„Travelex" atnaujina informaciją apie jos atkūrimą iš atakos

Sausio 12 d. „Travelex" savo svetainėse paskelbė atnaujintą pareiškimą . Bendrovė informavo savo klientus ir partnerius, kad sėkmingai atkūrė kai kurias savo vidines ir užsakymų apdorojimo sistemas. Kitas jų žingsnis yra sugrąžinti į internetą sistemas, atsakingas už „klientų užsakymų apdorojimą elektroniniu būdu partnerių ir savo mažmeninės prekybos padalinių tinkluose". Be to, „Travelex" planuoja kitą savaitę paskelbti atkūrimo planą.

„Travelex" taip pat pakartojo, kad nerasta jokių išsamesnių klientų duomenų įrodymų ir kad jie, spręsdami bylą, bendradarbiauja su Nacionaliniu kibernetinio saugumo centru (NCSC) ir Metropoliteno policija. Klientai, norintys kreiptis dėl grąžinamosios išmokos ar aptarti bet kokius klausimus, raginami kreiptis į vietinį įmonės klientų aptarnavimo skyrių.

Įkeliama...