Computer Security Deviezenbedrijf Travelex getroffen door...

Deviezenbedrijf Travelex getroffen door Sodinokibi-aanval, hackers eisen $ 6 miljoen aan losgeld

Sodinokibi ransomware travelex aanval Travelex, een in het VK gevestigd deviezenbedrijf, had zijn activiteiten verstoord nadat het werd getroffen door een geavanceerde ransomware-dreiging. De aanval vond plaats op oudejaarsavond toen de meeste werknemers van Travelex op vakantie waren. De criminelen die verantwoordelijk zijn voor de hack lijken de nogal productieve Sodinokibi-groep , ook bekend als REvil. Het oorspronkelijke losgeld bedroeg $ 3 miljoen, maar na twee dagen zonder betaling werd het bedrag verdubbeld tot $ 6 miljoen. De hackers beweren ook toegang te hebben gehad tot het netwerk van Travelex gedurende een periode van zes maanden, waarin ze 5 GB gevoelige gegevens konden downloaden, waaronder creditcardgegevens van klanten, nationale verzekeringsnummers en geboortedata. De Sodinokibi-groep heeft verklaard dat het bereid is om de gestolen informatie te verkopen als Tavelex het losgeld niet binnen zeven dagen betaalt.

Travelex werd gedwongen zijn computernetwerk af te sluiten om de verspreiding van malware tegen te gaan. De websites van het bedrijf in 30 landen werden ook verwijderd en bezoekers zagen een bericht voor "gepland onderhoud" op hen verschijnen in de dagen onmiddellijk na de aanval. De ransomware-aanval heeft ook aanzienlijke gevolgen gehad voor de partners van Travelex die op het bedrijf vertrouwden voor deviezen. Onder de getroffen organisaties bevinden zich banken zoals Sainsbury's Bank, HSBC, Barclays, First Direct, Virgin Money en Asda Money.

Travelex heeft op 7 januari, een volledige week na het incident, een officiële verklaring afgegeven. Daarin erkent het bedrijf dat sommige van hun gegevens inderdaad met Sodinokibi zijn gecodeerd, maar ze hebben geen bewijs gevonden dat "gestructureerde persoonlijke klantgegevens" waren gecodeerd. Ze konden ook geen bewijs vinden dat gegevens door de hackers waren geëfiltreerd.

Bedrijf heeft maanden gewacht om kritieke kwetsbaarheden te verhelpen

Beveiligingsonderzoekers wezen op het trage tempo waarmee Travelex de beveiligingsproblemen oploste die werden gevonden in de Pulse Secure virtual private network (VPN) -servers die zijn werknemers gebruikten om op afstand verbinding te maken met de centrale computersystemen. De problemen waren ernstig genoeg voor Pulse Security om een adviesbericht uit te brengen , evenals softwarepatches om ze in april 2019 te behandelen. Travelex lijkt echter acht maanden te hebben gewacht voordat ze eindelijk hun servers patchen, wat genoeg tijd laat voor de hackers om misbruik te maken van de kwetsbaarheden en toegang te krijgen tot het netwerk.

Volgens de Britse wetgeving hebben organisaties die het slachtoffer worden van een datalek 72 uur de tijd om het ICO (Information Commissioner's Office) op de hoogte te stellen, tenzij ze van mening zijn dat het datalek geen bedreiging vormt voor de rechten en vrijheden van mensen. In dat geval moeten de organisaties de inbreuk bijhouden en een legitieme verklaring hebben waarom ze geen melding bij de ICO hebben ingediend. Een bedrijf dat niet voldoet, kan een maximale boete oplopen van 4% van zijn wereldwijde omzet onder de Algemene Verordening Gegevensbescherming (AVG).

Sodinokibi nam GandCrab's plaats in als Top Ransomware-as-A-Service

Sodinokibi is sinds april 2019 actief op het gebied van ransomware. De groep is ontstaan nadat de criminelen achter de beruchte GandCrab Ransomware hebben aangekondigd dat ze met pensioen gaan nadat ze zogenaamd miljoenen aan losgeld hebben betaald. Hoewel dit niet wordt bevestigd, zijn veel cybersecurity-analisten van mening dat sommige mensen achter CandGrab-activiteiten mogelijk zijn overgestapt naar Sodinokibi vanwege enkele opvallende overeenkomsten in de code van de twee ransomware-bedreigingen.

Hoewel de Sodinokibi-groep tijdens verschillende eerdere ransomware-aanvallen dreigde met het vrijgeven van gestolen gegevens, was de Sodinokibi-groep tot nu toe niet doorgegaan met hun woorden. Dat veranderde allemaal op 10 januari toen een vertegenwoordiger voor de hackers verklaarde dat ze hun beloften beginnen na te komen en links naar ongeveer 337 MB aan gegevens in een bericht op een Russisch hackerforum uploadden. De gegevens zijn naar verluidt afkomstig van Artech Information Systems, een van de grootste IT-personeelbedrijven ter wereld.

Travelex geeft update uit over het herstel na de aanval

Op 12 januari publiceerde Travelex een bijgewerkte verklaring op haar sites. Het bedrijf heeft zijn klanten en partners laten weten dat het met succes enkele van zijn interne en orderverwerkingssystemen heeft hersteld. Hun volgende stap is om de systemen die verantwoordelijk zijn voor de verwerking van "de bestelling van klanten elektronisch binnen de partners van haar partners en haar eigen retailfilialen" weer online te brengen. Bovendien is Travelex van plan om op een bepaald punt in de volgende week een herstelplan uit te geven.

Travelex herhaalde ook dat er geen bewijs voor gefiltreerde klantgegevens is gevonden en dat ze samenwerken met het National Cyber Security Center (NCSC) en de Metropolitan Police om de zaak op te lossen. Klanten die restituties willen aanvragen of problemen willen bespreken, worden aangemoedigd om contact op te nemen met de lokale klantenservice van het bedrijf.

Bezig met laden...