针对外币兑换提供商Travelex的攻击出现了更多细节,并确认它涉及勒索软件,并且攻击背后的人要求提供600万美元的赎金以删除被盗的数据。
Travelex最初将这次攻击称为Sodinokibi(REvil)勒索软件,最初被Travelex形容为“损害了其某些服务的”软件病毒。这些服务包括英国的网站和在线服务以及某些服务。在Travelex经营所在的其他国家/地区。
Travelex声称在勒索软件攻击中没有破坏任何个人或客户数据。尽管这可能是正确的,但攻击背后的Sodinokibi团伙声称已窃取了该公司的数据。该组织声称拥有六个月前获得的5 GB敏感数据,包括出生日期,信用卡信息和国家保险号码的详细信息。
黑客 周二告诉英国广播公司,“在付款的情况下,我们将删除并且不会使用该数据库来恢复整个网络”,并且“加倍付款的期限为两天。再过七天,整个基地都卖了。”
Travelex尚未对被盗数据的要求作出回应。英国信息专员办公室表示,尚未收到该公司的数据泄露报告。根据英国法律,公司必须在了解到数据泄露后72小时内通知ICO。
有关该组织如何获得和成功攻击Travelex的更多详细信息也浮出水面。现在认为这种攻击涉及利用Pulse Secure VPN Enterprise解决方案中的漏洞。该漏洞允许没有有效用户名和密码的用户远程连接到公司网络。该漏洞已在8月修补,但Travelex尚未将修补程序部署到其网络。
“最近,我们发现Sodinokibi勒索软件变体在Pulse Secure VPN漏洞案例中变得越来越普遍,”数字鉴识公司Crypsis Group董事Jared Greenhill 告诉SiliconANGLE。“但这不仅是案件发生的频率。范围广泛的勒索软件犯罪分子所使用的技术和方法本身就面临着严峻的挑战。
Greenhill说,黑客正在使用更复杂的媒介来交付它,例如击败多因素身份验证保护,并且将“竭尽全力”以确保获得报酬。
格林希尔说:“这包括禁用备份系统,当他们假设公司能够支付要价时不愿就赎金进行谈判,以及在某些情况下威胁要发布未全额支付的数据等例子。” “尽管强烈建议应用安全最佳实践,但威胁参与者在使用保护和工具方面变得越来越复杂,这使得组织与勒索软件的斗争不断变得更加困难。”
威胁检测公司Vectra AI Inc.的安全分析负责人Chris Morales 也指出,网络远程访问中的任何漏洞都很重要。
“我不知道特定于Travelex的所有变量在起作用,但遗憾的是,漏洞管理和修补仍然很难进行,”莫拉莱斯说。“听到其他用途,我不会感到惊讶。过去一年,由于漏洞或密码不足而利用现有的远程访问是许多勒索软件攻击的背后,其中包括德克萨斯州的22个州政府。”