Foreign Exchange Company Travelex Hit av Sodinokibi Attack, hackare kräver 6 miljoner dollar i ransom

Travelex, ett brittiskt baserat valutaföretag, störde sin verksamhet efter att det drabbades av ett sofistikerat ransomware-hot. Attacken ägde rum på nyårsafton när de flesta av Travelex anställda var på semester. De brottslingar som ansvarar för hacket verkar vara den ganska produktiva Sodinokibi-gruppen , alias REvil. Det ursprungliga lösenbeloppet var $ 3 miljoner, men efter två dagar utan att få betalning fördubblades summan till $ 6 miljoner. Hackarna hävdar också att ha haft tillgång till Travelexs nätverk under en period av sex månader, under vilka de kunde ladda ner 5 GB känslig information, inklusive kundernas kreditkortsuppgifter, nationella försäkringsnummer och födelsedatum. Sodinokibi-gruppen har uppgett att den är beredd att sälja den stulna informationen om Tavelex inte betalar lösen inom sju dagar.

Travelex tvingades stänga av sitt datornätverk för att innehålla spridningen av skadlig programvara. Företagets webbplatser i 30 länder togs också ner med besökare som ser ett meddelande om "planerat underhåll" som visas på dem under dagarna omedelbart efter attacken. Ransomware-attacken har också haft betydande konsekvenser för Travelexs partners som förlitade sig på företaget för valutatjänster. Bland de berörda organisationerna finns banker som Sainsbury's Bank, HSBC, Barclays, First Direct, Virgin Money och Asda Money.

Travelex utfärdade ett officiellt uttalande den 7 januari, en hel vecka efter incidenten. I det erkänner företaget att verkligen vissa av deras data har krypterats med Sodinokibi, men de hittade inga bevis för att "strukturerade personliga kundinformation" hade krypterats. De kunde inte heller hitta bevis på att någon information hade exporterats av hackarna heller.

Företaget väntade månader för att korrigera kritiska sårbarheter

Säkerhetsforskare påpekade den långsamma takt där Travelex hanterade säkerhetsproblem som finns i Pulse Secure virtual private network (VPN) -server som dess anställda använde för att ansluta på distans till de centrala datorsystemen. Problemen var tillräckligt allvarliga för att Pulse Security kunde utfärda ett rådgivande meddelande samt programvarupatcher för att hantera dem tillbaka i april 2019. Travelex verkar dock ha väntat i åtta månader innan de slutligen lappade sina servrar, vilket lämnar god tid för hackarna för att ha utnyttjat sårbarheterna och fått tillgång till nätverket.

Enligt brittisk lag har organisationer som blir offer för ett dataintrång 72 timmar att meddela informationskommitténs kontor (ICO) såvida de inte anser att dataintrånget inte utgör ett hot mot människors rättigheter och friheter. I så fall måste organisationerna hålla ett register över överträdelsen och ha en legitim förklaring till varför de inte lämnade in en rapport till ICO. Ett företag som inte uppfyller kraven kan drabbas av högst 4% av sin globala omsättning enligt General Data Protection Regulation (GDPR).

Sodinokibi tog GandCrabs plats som Top Ransomware-As-A-Service

Sodinokibi har varit aktiv på ransomware-fronten sedan april 2019. Gruppen dök upp efter att de kriminella bakom den ökända GandCrab Ransomware tillkännagav att de går i pension efter att de förmodligen hade skaffat miljoner i lösenbetalningar. Även om det inte bekräftas, tror många cybersäkerhetsanalytiker att vissa av personerna bakom CandGrab-operationer kan ha gått vidare till Sodinokibi på grund av vissa slående likheter i koden för de två ransomware-hoten.

Medan han hotade med att släppa stulna uppgifter under flera tidigare ransomware-attacker, hade Sodinokibi-gruppen inte följt sina ord hittills. Allt förändrades den 10 januari när en representant för hackarna uppgav att de börjar hålla sina löften och laddade upp länkar till cirka 337 MB data i ett inlägg på ett ryskt hackerforum. Uppgifterna kommer enligt uppgift från Artech Information Systems, ett av världens största IT-bemanningsföretag.

Travelex utfärdar uppdatering om återhämtning från attacken

Den 12 januari publicerade Travelex ett uppdaterat uttalande på sina webbplatser. Företaget informerade sina kunder och partners om att det framgångsrikt har återställt några av sina interna system och orderbehandlingssystem. Deras nästa steg är att återföra systemen som ansvarar för att hantera "kundens beställning elektroniskt inom sina partners och sina egna detaljhandelsnätverk" online. Vidare planerar Travelex att släppa en återhämtningskarta över en tidpunkt i veckan därpå.

Travelex upprepade också att inga bevis för exfiltrerade kunduppgifter har hittats och att de arbetar med National Cyber Security Center (NCSC) och Metropolitan Police för att lösa ärendet. Kunder som vill ansöka om återbetalning eller diskutera eventuella frågor uppmuntras att kontakta företagets lokala kundservice.