Foreign Exchange Company Travelex Hit av Sodinokibi Attack, Hackere krever 6 millioner dollar i Ransom

Travelex, et britisk-basert valutaselskap, fikk driften av drift etter at den ble rammet av en sofistikert ransomware-trussel. Angrepet fant sted på nyttårsaften da de fleste av Travelexs ansatte var på ferie. De kriminelle som er ansvarlige for hacket ser ut til å være den ganske produktive Sodinokibi-gruppen , også kalt REvil. Det opprinnelige løsepengebeløpet var $ 3 millioner, men etter to dager uten å motta betaling ble summen doblet til $ 6 millioner. Hackerne hevder også å ha hatt tilgang til Travelex sitt nettverk i en periode på seks måneder, hvor de kunne laste ned 5 GB sensitive data, inkludert kundenes kredittkortdetaljer, personnummer og fødselsdato. Sodinokibi-gruppen har uttalt at den er forberedt på å selge den stjålne informasjonen hvis Tavelex ikke klarer å betale løsepenger innen syv dager.

Travelex ble tvunget til å legge ned datanettverket for å inneholde spredningen av skadelig programvare. Selskapets nettsteder over 30 land ble også tatt ned med besøkende som fikk se en melding om "planlagt vedlikehold" som ble vist på dem i dagene rett etter angrepet. Ransomware-angrepet har også hatt betydelige konsekvenser for Travelexs partnere som stolte på selskapet for valutatjenester. Blant de berørte organisasjonene er banker som Sainsbury's Bank, HSBC, Barclays, First Direct, Virgin Money og Asda Money.

Travelex avgav en offisiell uttalelse 7. januar, en hel uke etter hendelsen. I den erkjenner selskapet at faktisk har noen av dataene deres blitt kryptert med Sodinokibi, men de fant ingen bevis for at "strukturerte personlige kundedata" var kryptert. De kunne heller ikke finne bevis på at noen data var blitt filtrert av hackerne.

Selskapet ventet måneder med å korrigere kritiske sårbarheter

Sikkerhetsforskere påpekte det sakte tempoet som Travelex håndterte sikkerhetsproblemer i Pulse Secure virtual private network (VPN) servere som de ansatte brukte til å koble eksternt til de sentrale datasystemene. Problemene var alvorlige nok til at Pulse Security kunne gi et rådgivende varsel, så vel som programvareoppdateringer for å håndtere dem tilbake i april 2019. Det ser imidlertid ut til at Travelex har ventet i åtte måneder før de til slutt lappet serverne sine, noe som gir god tid til hackerne for å ha utnyttet sårbarhetene og fått tilgang til nettverket.

I henhold til britisk lov har organisasjoner som blir offer for et datainnbrudd 72 timer på å varsle informasjonskommissærens kontor (ICO), med mindre de mener at datainnbruddet ikke utgjør en trussel for folks rettigheter og friheter. I så fall er organisasjonene pålagt å føre oversikt over bruddet og ha en legitim forklaring på hvorfor de ikke sendte inn en rapport til ICO. Et selskap som ikke overholder kravene, kan få en maksimal bot på 4% av sin globale omsetning i henhold til General Data Protection Regulation (GDPR).

Sodinokibi tok GandCrab plass som topp Ransomware-As-A-Service

Sodinokibi har vært aktiv på ransomware-fronten siden april 2019. Gruppen dukket opp etter at de kriminelle bak den beryktede GandCrab Ransomware kunngjorde at de trekker seg etter angivelig å ha samlet inn millioner i løsepenger. Selv om det ikke er bekreftet, tror mange cybersecurity-analytikere at noen av personene bak CandGrab-operasjoner kan ha gått videre til Sodinokibi på grunn av noen påfallende likheter i koden til de to ransomware-truslene.

Mens hun truet med å frigjøre stjålne data under flere tidligere ransomware-angrep, hadde ikke Sodinokibi-gruppen fulgt ordene deres så langt. Det hele endret seg 10. januar da en representant for hackerne uttalte at de begynner å holde løftene sine og lastet opp lenker til rundt 337 MB data i et innlegg på et russisk hackerforum. Dataene er angivelig fra Artech Information Systems, et av de største IT-bemanningsselskapene i verden.

Travelex utsteder oppdateringen om gjenoppretting fra angrepet

12. januar publiserte Travelex en oppdatert uttalelse på sine nettsteder. Selskapet informerte sine kunder og partnere om at det har gjenopprettet noen av sine interne og ordrebehandlingssystemer. Deres neste trinn er å bringe systemene som er ansvarlige for å behandle "kundenes ordre elektronisk i partnerne og sine egne detaljhandelsnettverk" tilbake på nettet. Videre planlegger Travelex å frigjøre et gjenoppretting veikart på et tidspunkt i uken etter.

Travelex gjentok også at det ikke er funnet bevis for eksfiltrerte kundedata, og at de samarbeider med National Cyber Security Center (NCSC) og Metropolitan Police for å løse saken. Kunder som ønsker å søke om refusjon eller diskutere eventuelle problemer oppfordres til å kontakte den lokale kundeservicen til selskapet.