Kompania e këmbimit valutor Travelex hit nga Sodinokibi Sulmi, Hakerët kërkojnë 6 milion dollarë si shpërblim
Travelex, një kompani e këmbimit valutor me qendër në Mbretërinë e Bashkuar, kishte ndërprerë operacionet e saj pasi u godit nga një kërcënim i sofistikuar i hakmarrësve. Sulmi ndodhi në natën e Vitit të Ri kur shumica e punonjësve të Travelex ishin me pushime. Kriminelët përgjegjës për hakun duket se janë grupi mjaft pjellor Sodinokibi , aka REvil. Shuma fillestare e shpërblesës ishte 3 milion dollarë, por pas dy ditësh pa marrë pagesa, shuma u dyfishua në 6 milion dollarë. Hakerat gjithashtu pretendojnë se kanë pasur qasje në rrjetin e Travelex për një periudhë prej gjashtë muajsh, gjatë së cilës ata ishin në gjendje të shkarkonin 5 GB të dhëna të ndjeshme, përfshirë detajet e kartës së kreditit të klientëve, numrat e sigurimeve kombëtare dhe datat e lindjes. Grupi Sodinokibi ka deklaruar se është i përgatitur të shesë informacionin e vjedhur nëse Tavelex nuk arrin ta paguajë shpërblimin brenda shtatë ditëve.
Travelex u detyrua të mbyllte rrjetin e tij kompjuterik në mënyrë që të përmbajë përhapjen e malware. Uebfaqet e kompanisë në 30 vende gjithashtu u hodhën poshtë me vizitorët duke parë një mesazh për "mirëmbajtjen e planifikuar" të shfaqur mbi to në ditët menjëherë pas sulmit. Sulmi i ransomware ka patur gjithashtu pasoja të rëndësishme për partnerët e Travelex që i janë mbështetur kompanisë për shërbime të këmbimit valutor. Ndër organizatat e prekura janë banka të tilla si Banka e Sainsbury, HSBC, Barclays, First Direct, Virgin Money dhe Asda Money.
Travelex lëshoi një deklaratë zyrtare në 7 janar, një javë të plotë pas incidentit. Në të, kompania pranon se, me të vërtetë, disa nga të dhënat e tyre janë koduar me Sodinokibi, por ata nuk gjetën asnjë provë që "të dhënat e strukturuara të klientit personal" ishin koduar. Ata nuk mund të gjenin prova që të dhënat ishin eksfiltruar nga hakerët, ose.
Kompania ka pritur muaj për të kapur cenime kritike
Studiuesit e sigurisë theksuan ritmin e ngadaltë me të cilin Travelex merrej me çështje të sigurisë të gjetura në rrjetin privat virtual Pulse Secure (VPN) serverat e punonjësve të tij të përdorur për t'u lidhur nga distanca me sistemet kompjuterike qendrore. Problemet ishin mjaft të rënda që Pulse Security të lëshojë një njoftim këshillues, si dhe arna softuerësh që të merren me to përsëri në prill 2019. Sidoqoftë, Travelex ka pritur për tetë muaj para se të nisë përfundimisht serverat e tyre, gjë që lë shumë kohë për hakerat të kenë shfrytëzuar dobësitë dhe të kenë akses në rrjet.
Sipas ligjit në Mbretërinë e Bashkuar, organizatat që bëhen viktima të një shkeljeje të të dhënave kanë 72 orë për të njoftuar Zyrën e Komisionerit të Informacionit (ICO) përveç nëse besojnë se shkelja e të dhënave nuk përbën një kërcënim për të drejtat dhe liritë e njerëzve. Në atë rast, organizatat kërkohen të mbajnë një procesverbal të shkeljes dhe të kenë një shpjegim të ligjshëm pse nuk kanë paraqitur një raport në ICO. Një kompani që nuk arrin të përmbushë mund të pësojë një gjobë maksimale prej 4% të xhiros së saj globale sipas Rregullores së Përgjithshme të Mbrojtjes së të Dhënave (GDPR).
Sodinokibi zuri vendin e GandCrab si Top Ransomware-As-A-Service
Sodinokibi ka qenë aktiv në frontin e ransomware që nga Prilli 2019. Grupi doli pasi kriminelët që qëndronin pas famëkeqit GandCrab Ransomware njoftuan se po pensionohen pasi gjoja kanë kapur miliona pagesa për shpërblesë. Ndërsa nuk konfirmohet, shumë analistë të sigurisë në internet besojnë se disa nga njerëzit që fshihen pas operacioneve të CandGrab mund të jenë transferuar në Sodinokibi për shkak të disa ngjashmërive të habitshme në kodin e dy kërcënimeve për shpifës.
Ndërsa kërcënonte të lëshonte të dhëna të vjedhura gjatë disa sulmeve të mëparshme për ransomware, grupi Sodinokibi nuk kishte ndjekur fjalët e tyre deri më tani. Gjithçka ndryshoi në 10 janar kur një përfaqësues për hakerat deklaroi se ata po fillojnë të mbajnë premtimet e tyre dhe lidhjet e ngarkuara me rreth 337MB të dhëna në një postim në një forum rus hakerash. Të dhënat dyshohet se janë nga Artech Information Systems, një nga kompanitë më të mëdha të personelit të IT në botë.
Publikimi i çështjeve të Travelex në rikuperimin e tij nga sulmi
Më 12 janar Travelex publikoi një deklaratë të azhurnuar në faqet e saj. Kompania informoi klientët dhe partnerët e saj se ka rikthyer me sukses disa nga sistemet e saj të brendshme dhe të përpunimit të porositjes. Hapi tjetër i tyre është të sjellin sistemet përgjegjëse për përpunimin e "porosisë së klientëve në mënyrë elektronike brenda partnerëve të saj dhe rrjeteve të degëve të veta me pakicë" përsëri në internet. Për më tepër, Travelex planifikon të lëshojë një plan udhërrëfyes për shërim në një pikë në javën në vijim.
Travelex përsëriti gjithashtu se nuk janë gjetur prova për të dhëna të exfiltruara të klientit dhe se ata janë duke punuar me Qendrën Kombëtare të Sigurisë Kibernetike (NCSC) dhe Policinë Metropolitane në zgjidhjen e çështjes. Konsumatorët që duan të aplikojnë për rimbursime ose të diskutojnë ndonjë çështje, inkurajohen të kontaktojnë shërbimin lokal të klientëve të kompanisë.