La société de change étrangère Travelex frappée par l'attaque de Sodinokibi, les pirates demandent 6 millions de dollars en rançon
Travelex, une société de change basée au Royaume-Uni, a vu ses opérations interrompues après avoir été frappé par une menace sophistiquée de ransomware. L'attaque a eu lieu le soir du Nouvel An, alors que la plupart des employés de Travelex étaient en vacances. Les criminels responsables du piratage semblent être le groupe Sodinokibi plutôt prolifique, alias REvil. Le montant initial de la rançon était de 3 millions de dollars, mais après deux jours sans recevoir de paiement, la somme a doublé pour atteindre 6 millions de dollars. Les pirates prétendent également avoir eu accès au réseau de Travelex pendant une période de six mois, au cours de laquelle ils ont pu télécharger 5 Go de données sensibles, y compris les détails de la carte de crédit des clients, les numéros d'assurance nationale et les dates de naissance. Le groupe Sodinokibi s'est déclaré prêt à vendre les informations volées si Tavelex ne payait pas la rançon dans les sept jours.
Travelex a été contraint de fermer son réseau informatique afin de contenir la propagation du malware. Les sites Web de l'entreprise dans 30 pays ont également été supprimés, les visiteurs voyant un message de "maintenance planifiée" s'afficher dans les jours qui ont suivi l'attaque. L'attaque par rançongiciel a également eu des conséquences importantes pour les partenaires de Travelex qui comptaient sur l'entreprise pour des services de change. Parmi les organisations concernées figurent des banques telles que Sainsbury's Bank, HSBC, Barclays, First Direct, Virgin Money et Asda Money.
Travelex a publié une déclaration officielle le 7 janvier, une semaine entière après l'incident. Dans ce document, la société reconnaît que, en effet, certaines de leurs données ont été cryptées avec Sodinokibi, mais elle n'a trouvé aucune preuve que des "données personnelles structurées sur les clients" avaient été cryptées. Ils n'ont pas non plus pu trouver la preuve que des données avaient été exfiltrées par les pirates.
La société a attendu des mois pour corriger les vulnérabilités critiques
Les chercheurs en sécurité ont souligné la lenteur avec laquelle Travelex a traité les problèmes de sécurité rencontrés dans les serveurs de réseau privé virtuel (VPN) Pulse Secure que ses employés utilisaient pour se connecter à distance aux systèmes informatiques centraux. Les problèmes étaient suffisamment graves pour que Pulse Security émette un avis consultatif ainsi que des correctifs logiciels pour les traiter en avril 2019. Travelex, cependant, semble avoir attendu huit mois avant de finalement patcher leurs serveurs, ce qui laisse beaucoup de temps pour les pirates informatiques pour avoir exploité les vulnérabilités et accéder au réseau.
En vertu de la loi britannique, les organisations qui sont victimes d'une violation de données ont 72 heures pour en informer le Bureau du commissaire à l'information (ICO), sauf si elles estiment que la violation de données ne constitue pas une menace pour les droits et libertés des personnes. Dans ce cas, les organisations sont tenues de tenir un registre de la violation et d'avoir une explication légitime pour expliquer pourquoi elles n'ont pas soumis de rapport à l'OIC. Une entreprise qui ne se conforme pas peut encourir une amende maximale de 4% de son chiffre d'affaires mondial en vertu du règlement général sur la protection des données (RGPD).
Sodinokibi a pris la place de GandCrab comme premier ransomware-as-a-service
Sodinokibi est actif sur le front des rançongiciels depuis avril 2019. Le groupe a émergé après que les criminels derrière le fameux GandCrab Ransomware ont annoncé qu'ils prenaient leur retraite après avoir soi-disant ramassé des millions de rançons. Bien que cela ne soit pas confirmé, de nombreux analystes de la cybersécurité pensent que certaines des personnes derrière les opérations de CandGrab peuvent avoir migré vers Sodinokibi en raison de certaines similitudes frappantes dans le code des deux menaces de ransomware.
Alors qu'il menaçait de divulguer des données volées lors de plusieurs attaques de rançongiciels précédentes, le groupe Sodinokibi n'avait pas donné suite à ses propos jusqu'à présent. Tout a changé le 10 janvier quand un représentant des pirates a déclaré qu'ils commençaient à tenir leurs promesses et a téléchargé des liens vers environ 337 Mo de données dans un message sur un forum de hacker russe. Les données proviendraient d'Artech Information Systems, l'une des plus grandes sociétés de personnel informatique au monde.
Travelex publie une mise à jour sur sa récupération après l'attaque
Le 12 janvier, Travelex a publié une déclaration mise à jour sur ses sites. L'entreprise a informé ses clients et partenaires qu'elle avait réussi à restaurer certains de ses systèmes internes et de traitement des commandes. Leur prochaine étape consiste à remettre en ligne les systèmes chargés du traitement «des commandes des clients par voie électronique au sein de ses partenaires et de ses propres réseaux d'agences de vente au détail». En outre, Travelex prévoit de publier une feuille de route de récupération à un moment donné au cours de la semaine suivante.
Travelex a également réitéré qu'aucune preuve de données client exfiltrées n'a été trouvée et qu'ils travaillent avec le National Cyber Security Center (NCSC) et la Metropolitan Police pour résoudre l'affaire. Les clients qui souhaitent demander un remboursement ou discuter de tout problème sont encouragés à contacter le service client local de l'entreprise.