Валютная компания Travelex, пострадавшая от атаки Sodinokibi, хакеры требует выкуп в размере 6 миллионов долларов

Travelex, британская валютная компания, прекратила свою деятельность после того, как на нее попала изощренная угроза вымогателей. Атака произошла в канун Нового года, когда большинство сотрудников Travelex были в отпуске. Преступники, ответственные за взлом, являются довольно плодовитой группой Содинокиби , известной как REvil. Первоначальная сумма выкупа составляла 3 миллиона долларов, но после двух дней без получения оплаты сумма удвоилась до 6 миллионов долларов. Хакеры также утверждают, что имели доступ к сети Travelex в течение шести месяцев, в течение которых они смогли загрузить 5 ГБ конфиденциальных данных, включая данные кредитной карты клиентов, номера национальных страховых полисов и даты рождения. Группа Sodinokibi заявила, что готова продать украденную информацию, если Tavelex не выплатит выкуп в течение семи дней.

Travelex был вынужден закрыть свою компьютерную сеть, чтобы сдержать распространение вредоносных программ. Веб-сайты компании в 30 странах также были закрыты, и посетители увидели сообщение о «плановом обслуживании», отображаемое на них сразу после атаки. Атака вымогателей также имела значительные последствия для партнеров Travelex, которые полагались на компанию в обмене валютных услуг. Среди пострадавших организаций такие банки, как Банк Сэйнсбери, HSBC, Barclays, First Direct, Virgin Money и Asda Money.

Travelex опубликовал официальное заявление 7 января, через целую неделю после инцидента. В нем компания признает, что, действительно, некоторые из их данных были зашифрованы с помощью Sodinokibi, но они не нашли никаких доказательств того, что «структурированные личные данные клиентов» были зашифрованы. Они также не смогли найти доказательств того, что хакеры взломали какие-либо данные.

Компания ждала месяцы для исправления критических уязвимостей

Исследователи в области безопасности указали на медленные темпы, с которыми Travelex решает проблемы безопасности, обнаруженные на серверах виртуальной частной сети (VPN) Pulse Secure, которые его сотрудники использовали для удаленного подключения к центральным компьютерным системам. Проблемы были достаточно серьезными, чтобы Pulse Security выпустил консультативное уведомление, а также исправления программного обеспечения для их устранения еще в апреле 2019 года. Однако Travelex, похоже, подождал восемь месяцев, прежде чем наконец-то исправит свои серверы, что оставляет достаточно времени для хакеры использовали уязвимости и получили доступ к сети.

Согласно британскому законодательству, организации, ставшие жертвами взлома данных, имеют 72 часа, чтобы уведомить Офис уполномоченного по информации (ICO), если только они не считают, что взлом данных не представляет угрозы для прав и свобод людей. В этом случае организации должны вести учет нарушения и иметь законное объяснение того, почему они не представили отчет в ICO. Компания, которая не соблюдает требования, может понести максимальный штраф в размере 4% от ее глобального оборота в соответствии с Общим регламентом защиты данных (GDPR).

Sodinokibi занял место GandCrab как лучший вымогатель-как-услуга

Sodinokibi активно работает на фронте вымогателей с апреля 2019 года. Группа появилась после того, как преступники, стоящие за пресловутым GandCrab Ransomware, объявили, что они уходят в отставку после якобы скупки миллионов выкупов. Хотя это не подтверждено, многие аналитики в области кибербезопасности полагают, что некоторые из сотрудников CandGrab, возможно, перешли в Содинокиби из-за поразительного сходства в коде двух угроз вымогателей.

Угрожая выпустить украденные данные во время нескольких предыдущих атак на вымогателей, группа Содинокиби до сих пор не выполнила их слова. Все изменилось 10 января, когда представитель хакеров заявил, что они начинают выполнять свои обещания, и загрузил ссылки на около 337 МБ данных в сообщении на российском хакерском форуме. Данные предположительно получены от Artech Information Systems, одной из крупнейших компаний, занимающихся ИТ-персоналом в мире.

Travelex выпускает обновленную информацию о своем восстановлении после атаки

12 января Travelex опубликовал обновленное заявление на своих сайтах. Компания сообщила своим клиентам и партнерам, что она успешно восстановила некоторые из своих внутренних систем и систем обработки заказов. Их следующий шаг - вернуть системы, отвечающие за обработку «заказов клиентов в электронном виде в рамках своих партнеров и собственных розничных филиальных сетей», в режиме онлайн. Кроме того, Travelex планирует выпустить план восстановления в какой-то момент на следующей неделе.

Travelex также подтвердил, что не было обнаружено никаких доказательств отфильтрованных данных о клиентах, и что они работают с Национальным центром кибербезопасности (NCSC) и столичной полицией для разрешения дела. Клиентам, которые хотят подать заявку на возмещение или обсудить любые вопросы, рекомендуется обратиться в местную службу поддержки компании.