外匯交易公司Travelex受Sodinokibi攻擊打擊，黑客要求贖金600萬美元

Travelex是一家總部位於英國的外匯公司，在受到復雜的勒索軟件威脅的打擊後，其業務中斷了。這次襲擊發生在Travelex的大多數員工都在度假的除夕。造成駭客入侵的罪犯似乎是相當多產的Sodinokibi團體 ，又名REvil。最初的贖金金額為300萬美元，但兩天未收到付款後，總金額翻了一番，達到600萬美元。黑客還聲稱可以訪問Travelex的網絡已有六個月的時間，在此期間，他們能夠下載5GB的敏感數據，包括客戶的信用卡詳細信息，國民保險號和出生日期。 Sodinokibi小組表示，如果Tavelex在7天內未能支付贖金，它準備出售被盜的信息。

Travelex被迫關閉其計算機網絡，以遏制惡意軟件的傳播。該公司在30個國家/地區的網站也被撤下，訪問者在襲擊發生後的幾天內看到一條"計劃維護"的消息。勒索軟件攻擊也對依賴該公司提供外匯服務的Travelex合作夥伴造成了嚴重後果。在受影響的組織中，有塞恩斯伯里銀行，匯豐銀行，巴克萊銀行，First Direct，Virgin Money和Asda Money等銀行。

Travelex在事件發生整整一周後的1月7日發布了正式聲明。該公司承認，確實確實使用Sodinokibi對他們的某些數據進行了加密，但是他們沒有發現"結構化個人客戶數據"已經加密的證據。他們也找不到證據證明黑客已經竊取了任何數據。

公司等待幾個月來修補關鍵漏洞

安全研究人員指出，Travelex處理其員工用來遠程連接到中央計算機系統的Pulse Secure虛擬專用網絡（VPN）服務器中發現的安全問題的步伐緩慢。問題非常嚴重，Pulse Security於2019年4月發布了公告和軟件補丁來解決這些問題。但是，Travelex似乎已經等待了八個月才終於對服務器進行補丁，這為他們留出了很多時間黑客利用這些漏洞並獲得了對網絡的訪問權限。

根據英國法律，成為數據洩露受害者的組織有72小時通知信息專員辦公室（ICO），除非他們認為數據洩露不會對人們的權利和自由構成威脅。在這種情況下，組織必須保存違規記錄，並有合理的解釋說明為什麼他們沒有向ICO提交報告。根據通用數據保護條例（GDPR），不遵守規定的公司可能會面臨其全球營業額最高4％的罰款。

Sodinokibi榮獲GandCrab的頂級勒索軟件服務

自2019年4月以來，Sodinokibi一直活躍在勒索軟件領域。該組織在臭名昭著的GandCrab Ransomware背後的罪犯宣布他們據稱以數百萬美元的贖金付款後退休後成立。儘管尚未得到證實，但許多網絡安全分析人士認為，由於兩種勒索軟件威脅的代碼具有驚人的相似性，CandGrab運營背後的某些人可能已遷移至Sodinokibi。

Sodinokibi小組在先前幾次勒索軟件攻擊中威脅要釋放被盜的數據時，到目前為止還沒有遵守。一切都在1月10日發生了變化，當時一位黑客代表表示，他們開始信守諾言，並在俄羅斯黑客論壇上的帖子中上傳了約337MB數據的鏈接。據稱，這些數據來自全球最大的IT員工公司之一Artech Information Systems。

Travelex發布有關其從攻擊中恢復的更新

1月12日，Travelex在其網站上發布了更新的聲明 。該公司告知其客戶和合作夥伴，它已成功恢復了一些內部和訂單處理系統。他們的下一步是使負責"在合作夥伴及其零售分支網絡內以電子方式處理客戶訂單"的系統重新上線。此外，Travelex計劃在下週的某個時候發布恢復路線圖。

Travelex還重申，沒有發現洩露的客戶數據的證據，他們正在與國家網絡安全中心（NCSC）和都市警察合作解決此案。鼓勵想要申請退款或討論任何問題的客戶聯繫公司的本地客戶服務。