外汇交易公司Travelex受Sodinokibi攻击打击，黑客要求赎金600万美元

Travelex是一家总部位于英国的外汇公司，在受到复杂的勒索软件威胁的打击后，其业务中断了。这次袭击发生在Travelex的大多数员工都在度假的除夕。造成骇客入侵的罪犯似乎是相当多产的Sodinokibi团体 ，又名REvil。最初的赎金金额为300万美元，但两天未收到付款后，总金额翻了一番，达到600万美元。黑客还声称可以访问Travelex的网络已有六个月的时间，在此期间，他们能够下载5GB的敏感数据，包括客户的信用卡详细信息，国民保险号和出生日期。 Sodinokibi小组表示，如果Tavelex在7天内未能支付赎金，它准备出售被盗的信息。

Travelex被迫关闭其计算机网络，以遏制恶意软件的传播。公司在30个国家/地区的网站也被撤下，访问者在攻击发生后的几天内看到一条"计划维护"的消息。勒索软件攻击也对依赖该公司提供外汇服务的Travelex合作伙伴造成了严重后果。受影响的组织包括塞恩斯伯里银行，汇丰银行，巴克莱银行，First Direct，Virgin Money和Asda Money等银行。

Travelex在事件发生整整一周后的1月7日发布了正式声明。该公司承认，确实确实使用Sodinokibi对他们的某些数据进行了加密，但是他们没有发现"结构化个人客户数据"已经加密的证据。他们也找不到证据证明黑客已经窃取了任何数据。

公司等待几个月来修补关键漏洞

安全研究人员指出，Travelex处理其员工用来远程连接到中央计算机系统的Pulse Secure虚拟专用网络（VPN）服务器中发现的安全问题的步伐缓慢。问题非常严重，Pulse Security于2019年4月发布了公告和软件补丁来处理这些问题。但是，Travelex似乎已经等待了八个月才终于对服务器进行补丁，这为他们留出了很多时间黑客利用这些漏洞并获得了对网络的访问权限。

根据英国法律，成为数据泄露受害者的组织有72小时通知信息专员办公室（ICO），除非他们认为数据泄露不会对人们的权利和自由构成威胁。在这种情况下，组织必须保存违规记录，并有合理的解释说明为什么他们没有向ICO提交报告。根据通用数据保护条例（GDPR），不遵守规定的公司可能会面临其全球营业额最高4％的罚款。

Sodinokibi荣获GandCrab的顶级勒索软件服务

自2019年4月以来，Sodinokibi一直活跃在勒索软件领域。该组织在臭名昭著的GandCrab Ransomware背后的罪犯宣布他们据称以数百万美元的赎金付款后退休后成立。尽管尚未得到证实，但许多网络安全分析人士认为，由于两种勒索软件威胁的代码具有惊人的相似性，CandGrab运营背后的某些人可能已迁移至Sodinokibi。

Sodinokibi小组在先前几次勒索软件攻击中威胁要释放被盗的数据时，到目前为止还没有遵守。一切都在1月10日发生了变化，当时一位黑客代表表示，他们开始信守诺言，并在俄罗斯黑客论坛上的帖子中上传了约337MB数据的链接。据称，这些数据来自全球最大的IT员工公司之一Artech Information Systems。

Travelex发布有关其从攻击中恢复的更新

1月12日，Travelex在其网站上发布了更新的声明 。该公司告知其客户和合作伙伴，它已成功恢复了一些内部和订单处理系统。他们的下一步是使负责"在合作伙伴及其零售分支网络内以电子方式处理客户订单"的系统重新上线。此外，Travelex计划在下周的某个时候发布恢复路线图。

Travelex还重申，没有发现泄露的客户数据的证据，他们正在与国家网络安全中心（NCSC）和都市警察合作解决此案。鼓励想要申请退款或讨论任何问题的客户联系公司的本地客户服务。