La compañía de cambio de divisas Travelex, afectada por el ataque de Sodinokibi, los hackers exigen $ 6 millones en rescate
Travelex, una compañía de divisas con sede en el Reino Unido, tuvo sus operaciones interrumpidas después de ser golpeado por una sofisticada amenaza de ransomware. El ataque tuvo lugar en la víspera de Año Nuevo cuando la mayoría de los empleados de Travelex estaban de vacaciones. Los delincuentes responsables del ataque parecen ser el grupo Sodinokibi , bastante prolífico, también conocido como REvil. El monto inicial del rescate fue de $ 3 millones, pero después de dos días sin recibir el pago, la suma se duplicó a $ 6 millones. Los piratas informáticos también afirman haber tenido acceso a la red de Travelex durante un período de seis meses, durante el cual pudieron descargar 5 GB de datos confidenciales, incluidos los datos de la tarjeta de crédito de los clientes, los números de seguro nacional y las fechas de nacimiento. El grupo Sodinokibi ha declarado que está preparado para vender la información robada si Tavelex no paga el rescate dentro de los siete días.
Travelex se vio obligado a cerrar su red de computadoras para contener la propagación del malware. Los sitios web de la compañía en 30 países también fueron eliminados y los visitantes vieron un mensaje de "mantenimiento planificado" en los días inmediatamente posteriores al ataque. El ataque de ransomware también ha tenido consecuencias significativas para los socios de Travelex que confiaron en la compañía para los servicios de cambio de divisas. Entre las organizaciones afectadas se encuentran bancos como Sainsbury's Bank, HSBC, Barclays, First Direct, Virgin Money y Asda Money.
Travelex emitió una declaración oficial el 7 de enero, una semana completa después del incidente. En él, la compañía reconoce que, de hecho, algunos de sus datos han sido encriptados con Sodinokibi, pero no encontraron evidencia de que los "datos personales estructurados del cliente" hayan sido encriptados. Tampoco pudieron encontrar evidencia de que los piratas informáticos hubieran extraído ningún dato.
La empresa esperó meses para corregir vulnerabilidades críticas
Los investigadores de seguridad señalaron el lento ritmo al que Travelex se ocupó de los problemas de seguridad encontrados en los servidores de red privada virtual (VPN) Pulse Secure que sus empleados usaban para conectarse de forma remota a los sistemas informáticos centrales. Los problemas fueron lo suficientemente graves como para que Pulse Security emitiera un aviso de advertencia y parches de software para tratarlos en abril de 2019. Sin embargo, Travelex parece haber esperado ocho meses antes de finalmente reparar sus servidores, lo que deja mucho tiempo para los hackers han explotado las vulnerabilidades y tienen acceso a la red.
Según la ley del Reino Unido, las organizaciones que se convierten en víctimas de una violación de datos tienen 72 horas para notificar a la Oficina del Comisionado de Información (ICO) a menos que crean que la violación de datos no representa una amenaza para los derechos y libertades de las personas. En ese caso, las organizaciones deben mantener un registro de la violación y tener una explicación legítima de por qué no presentaron un informe a la ICO. Una empresa que no cumple puede sufrir una multa máxima del 4% de su facturación global según el Reglamento General de Protección de Datos (GDPR).
Sodinokibi tomó el lugar de GandCrab como el mejor ransomware como servicio
Sodinokibi ha estado activo en el frente de ransomware desde abril de 2019. El grupo surgió después de que los criminales detrás del notorio GandCrab Ransomware anunciaron que se retirarán después de supuestamente recaudar millones en pagos de rescate. Si bien no está confirmado, muchos analistas de ciberseguridad creen que algunas de las personas detrás de las operaciones de CandGrab pueden haberse mudado a Sodinokibi debido a algunas similitudes sorprendentes en el código de las dos amenazas de ransomware.
Mientras amenazaba con liberar datos robados durante varios ataques de ransomware anteriores, el grupo Sodinokibi no había cumplido con sus palabras hasta el momento. Todo eso cambió el 10 de enero cuando un representante de los piratas informáticos declaró que estaban empezando a cumplir sus promesas y subió enlaces a alrededor de 337 MB de datos en una publicación en un foro de piratas informáticos rusos. Los datos supuestamente provienen de Artech Information Systems, una de las compañías de personal de TI más grandes del mundo.
Travelex publica una actualización sobre su recuperación del ataque
El 12 de enero, Travelex publicó una declaración actualizada en sus sitios. La compañía informó a sus clientes y socios que ha restaurado con éxito algunos de sus sistemas internos y de procesamiento de pedidos. Su próximo paso es volver a poner en línea los sistemas responsables de procesar "los pedidos de los clientes electrónicamente dentro de las redes de sus socios y de sus propias sucursales minoristas". Además, Travelex planea lanzar una hoja de ruta de recuperación en algún momento de la semana siguiente.
Travelex también reiteró que no se han encontrado pruebas de datos de clientes extraídos y que están trabajando con el Centro Nacional de Seguridad Cibernética (NCSC) y la Policía Metropolitana para resolver el caso. Se recomienda a los clientes que deseen solicitar reembolsos o discutir cualquier problema que se comuniquen con el servicio al cliente local de la empresa.