Firma dewizowa Travelex uderzona przez atak Sodinokibi, hakerzy żądają okupu w wysokości 6 milionów dolarów

Travelex, brytyjska firma dewizowa, została zakłócona po uderzeniu przez wyrafinowane zagrożenie ransomware. Atak miał miejsce w sylwestra, kiedy większość pracowników Travelex była na wakacjach. Przestępcami odpowiedzialnymi za hack wydaje się być dość płodna grupa Sodinokibi , znana również jako REvil. Początkowa kwota okupu wynosiła 3 miliony USD, ale po dwóch dniach bez otrzymania płatności suma podwoiła się do 6 milionów USD. Hakerzy twierdzą również, że mieli dostęp do sieci Travelex przez okres sześciu miesięcy, podczas których mogli pobrać 5 GB poufnych danych, w tym dane karty kredytowej klienta, numery ubezpieczenia społecznego i daty urodzenia. Grupa Sodinokibi oświadczyła, że jest gotowa sprzedać skradzione informacje, jeśli Tavelex nie zapłaci okupu w ciągu siedmiu dni.

Travelex został zmuszony do zamknięcia swojej sieci komputerowej w celu powstrzymania rozprzestrzeniania się złośliwego oprogramowania. Witryny firmy w 30 krajach również zostały usunięte, a odwiedzający zobaczyli komunikat „planowanej konserwacji" w dniach bezpośrednio po ataku. Atak ransomware miał również poważne konsekwencje dla partnerów Travelex, którzy polegali na firmie w zakresie usług wymiany walut. Wśród dotkniętych organizacji znajdują się banki takie jak Sainsbury's Bank, HSBC, Barclays, First Direct, Virgin Money i Asda Money.

Travelex wydał oficjalne oświadczenie w dniu 7 stycznia, pełny tydzień po zdarzeniu. W nim firma potwierdza, że rzeczywiście niektóre ich dane zostały zaszyfrowane za pomocą Sodinokibi, ale nie znalazły dowodów na to, że „ustrukturyzowane dane osobowe klientów" zostały zaszyfrowane. Nie mogli również znaleźć dowodów na to, że hakerzy wyekstrahowali jakiekolwiek dane.

Firma czekała miesiące na załatanie krytycznych luk w zabezpieczeniach

Badacze bezpieczeństwa zwrócili uwagę na powolne tempo, w jakim Travelex radził sobie z problemami bezpieczeństwa występującymi na serwerach wirtualnej sieci prywatnej Pulse Secure (VPN), których pracownicy używali do zdalnego łączenia się z centralnymi systemami komputerowymi. Problemy były na tyle poważne, że Pulse Security wydało powiadomienie doradcze, a także poprawki oprogramowania, aby sobie z nimi poradzić w kwietniu 2019 r. Wydaje się jednak, że Travelex czekał osiem miesięcy, zanim w końcu załatał swoje serwery, co pozostawia dużo czasu na hakerzy wykorzystali luki i uzyskali dostęp do sieci.

Zgodnie z prawem brytyjskim organizacje, które padły ofiarą naruszenia danych, mają 72 godziny na powiadomienie Biura Komisarza ds. Informacji (ICO), chyba że uważają, że naruszenie danych nie stanowi zagrożenia dla praw i wolności obywateli. W takim przypadku organizacje muszą prowadzić rejestr naruszenia i mieć uzasadnione wyjaśnienie, dlaczego nie przesłały raportu do ICO. Firma, która nie zastosuje się do tej zasady, może zostać ukarana maksymalną grzywną w wysokości 4% całkowitego obrotu na podstawie ogólnego rozporządzenia o ochronie danych (RODO).

Sodinokibi zajął miejsce GandCrab jako najlepsza usługa ransomware jako usługa

Sodinokibi działa na froncie oprogramowania ransomware od kwietnia 2019 r. Grupa pojawiła się po tym, jak przestępcy stojący za słynnym GandCrab Ransomware ogłosili, że odchodzą na emeryturę po rzekomym zgarnięciu milionów okupu. Chociaż nie zostało to potwierdzone, wielu analityków cyberbezpieczeństwa uważa, że niektóre osoby odpowiedzialne za operacje CandGrab mogły przenieść się do Sodinokibi z powodu uderzających podobieństw w kodzie dwóch zagrożeń ransomware.

Grożąc uwolnieniem skradzionych danych podczas kilku poprzednich ataków ransomware, grupa Sodinokibi do tej pory nie dotrzymała słowa. Wszystko zmieniło się 10 stycznia, gdy przedstawiciel hakerów stwierdził, że zaczynają dotrzymywać obietnic, i zamieścił linki do około 337 MB danych w poście na rosyjskim forum hakerów. Dane pochodzą rzekomo z Artech Information Systems, jednej z największych firm zajmujących się obsługą informatyczną na świecie.

Travelex wydaje aktualizację dotyczącą odzyskiwania po ataku

12 stycznia Travelex opublikował zaktualizowane oświadczenie na swoich stronach. Firma poinformowała swoich klientów i partnerów, że pomyślnie przywróciła niektóre systemy wewnętrzne i systemy przetwarzania zamówień. Kolejnym krokiem jest przywrócenie systemów odpowiedzialnych za elektroniczne przetwarzanie „zamówień klientów w ramach partnerów" i własnych sieci oddziałów detalicznych ". Ponadto Travelex planuje opublikować mapę drogową odzyskiwania w pewnym momencie w następnym tygodniu.

Travelex powtórzył również, że nie znaleziono dowodów na eksfiltrowane dane klientów i że współpracują one z Narodowym Centrum Bezpieczeństwa Cybernetycznego (NCSC) i policją metropolitalną przy rozwiązywaniu sprawy. Klienci, którzy chcą ubiegać się o zwrot kosztów lub omawiać jakiekolwiek problemy, powinni skontaktować się z lokalną obsługą klienta firmy.