Computer Security A Empresa de Câmbio Travelex foi Atingida por um Ataque...

A Empresa de Câmbio Travelex foi Atingida por um Ataque dos Sodinokibi,; os Hackers Exigem US $6 Milhões em Resgate

Sodinokibi ransomware ataque travelex A Travelex, uma empresa de câmbio com sede no Reino Unido, teve suas operações interrompidas após ser atingida por uma sofisticada ameaça de ransomware. O ataque ocorreu na véspera de Ano Novo, quando a maioria dos funcionários da Travelex estava de férias. Os criminosos responsáveis pelo hack parecem ser o grupo Sodinokibi bastante prolífico, também conhecido como REvil. O valor inicial do resgate foi de US $3 milhões, mas após dois dias sem receber o pagamento, a soma dobrou para US $6 milhões. Os hackers também afirmam ter tido acesso à rede da Travelex por um período de seis meses, durante os quais foram capazes de baixar 5 GB de dados confidenciais, incluindo detalhes do cartão de crédito dos clientes, números de seguro nacional e datas de nascimento. O grupo Sodinokibi declarou que está preparado para vender as informações roubadas se a Tavelex não pagar o resgate dentro de sete dias.

A Travelex foi forçada a desligar sua rede de computadores para conter a propagação do malware. Os sites da empresa em 30 países também foram desativados, com os visitantes vendo uma mensagem de "manutenção planejada" exibida nos dias imediatamente após o ataque. O ataque ao ransomware também teve consequências significativas para os parceiros da Travelex, que dependiam da empresa para serviços de câmbio. Entre as organizações afetadas estão bancos como Sainsbury's Bank, HSBC, Barclays, First Direct, Virgin Money e Asda Money.

A Travelex emitiu uma declaração oficial em 7 de janeiro, uma semana inteira após o incidente. Nele, a empresa reconhece que, de fato, alguns de seus dados foram criptografados com o Sodinokibi, mas eles não encontraram evidências de que "dados pessoais estruturados de clientes" haviam sido criptografados. Eles também não conseguiram encontrar evidências de que os dados foram exfiltrados pelos hackers.

A Empresa Esperou Meses para Corrigir Vulnerabilidades Críticas

Os pesquisadores de segurança apontaram o ritmo lento no qual a Travelex lidava com os problemas de segurança encontrados nos servidores de rede virtual privada (VPN) Pulse Secure que seus funcionários usavam para se conectar remotamente aos sistemas centrais de computadores. Os problemas foram graves o suficiente para a Pulse Security emitir um aviso consultivo, bem como patches de software para lidar com eles em abril de 2019. A Travelex, no entanto, parece ter esperado oito meses antes de finalmente consertar seus servidores, o que deixa bastante tempo para os hackers exploraram as vulnerabilidades e obtiveram acesso à rede.

De acordo com a lei do Reino Unido, as organizações que são vítimas de uma violação de dados têm 72 horas para notificar o Information Commissioner's Office (ICO), a menos que acreditem que a violação de dados não represente uma ameaça aos direitos e liberdades das pessoas. Nesse caso, as organizações devem manter um registro da violação e ter uma explicação legítima do motivo pelo qual não enviaram um relatório à OIC. Uma empresa que não cumprir essa regra poderá sofrer uma multa máxima de 4% de seu faturamento global de acordo com o Regulamento Geral de Proteção de Dados (GDPR).

Sodinokibi assumiu o lugar de GandCrab como o principal ransomware como serviço

Sodinokibi está ativo na frente de ransomware desde abril de 2019. O grupo surgiu depois que os criminosos por trás do notório GandCrab Ransomware anunciaram que estavam se aposentando depois de supostamente arrecadar milhões em pagamentos de resgate. Embora não seja confirmado, muitos analistas de segurança cibernética acreditam que algumas das pessoas por trás das operações do CandGrab podem ter migrado para o Sodinokibi devido a algumas semelhanças impressionantes no código das duas ameaças de ransomware.

Apesar de ameaçar liberar dados roubados durante vários ataques anteriores de ransomware, o grupo Sodinokibi não havia cumprido suas palavras até agora. Tudo mudou no dia 10 de janeiro, quando um representante dos hackers declarou que estava começando a cumprir suas promessas e enviou links para cerca de 337MB de dados em uma publicação em um fórum russo de hackers. Os dados são supostamente da Artech Information Systems, uma das maiores empresas de pessoal de TI do mundo.

A Travelex Lança Atualização sobre a Recuperação do Ataque

Em 12 de janeiro, a Travelex publicou uma declaração atualizada em seus sites. A empresa informou seus clientes e parceiros que restaurou com sucesso alguns de seus sistemas internos e de processamento de pedidos. O próximo passo é colocar os sistemas responsáveis pelo processamento eletrônico de "pedidos dos clientes eletronicamente nas redes de seus parceiros e de suas próprias agências de varejo". Além disso, a Travelex planeja lançar um roteiro de recuperação em algum momento da semana seguinte.

A Travelex também reiterou que não foram encontradas evidências de dados de clientes exfiltrados e que eles estão trabalhando com o Centro Nacional de Segurança Cibernética (NCSC) e a Polícia Metropolitana na resolução do caso. Os clientes que desejam solicitar reembolso ou discutir qualquer problema são incentivados a entrar em contato com o serviço de atendimento ao cliente local da empresa.

Carregando...