Das Devisenunternehmen Travelex von Sodinokibi-Attacke getroffen, fordern Hacker Lösegeld in Höhe von 6 Mio. USD

Travelex, ein in Großbritannien ansässiges Devisenunternehmen, hatte seine Geschäftstätigkeit unterbrochen, nachdem es von einer ausgeklügelten Ransomware-Bedrohung heimgesucht worden war. Der Angriff fand an Silvester statt, als die meisten Mitarbeiter von Travelex im Urlaub waren. Die Kriminellen, die für den Hack verantwortlich sind, scheinen die ziemlich produktive Sodinokibi-Gruppe zu sein , auch bekannt als REvil. Die anfängliche Lösegeldsumme betrug 3 Millionen US-Dollar, aber nach zwei Tagen ohne Zahlungseingang verdoppelte sich die Summe auf 6 Millionen US-Dollar. Die Hacker gaben außerdem an, über einen Zeitraum von sechs Monaten Zugriff auf das Travelex-Netzwerk gehabt zu haben. In diesem Zeitraum konnten sie 5 GB sensibler Daten herunterladen, darunter die Kreditkartendaten der Kunden, die Versicherungsnummern und das Geburtsdatum. Die Sodinokibi-Gruppe hat erklärt, sie sei bereit, die gestohlenen Informationen zu verkaufen, falls Tavelex das Lösegeld nicht innerhalb von sieben Tagen zahlt.

Travelex musste sein Computernetzwerk herunterfahren, um die Ausbreitung der Malware einzudämmen. Die Websites des Unternehmens in 30 Ländern wurden ebenfalls gesperrt, und die Besucher sahen in den Tagen unmittelbar nach dem Angriff eine Meldung über "geplante Wartung". Der Ransomware-Angriff hatte auch erhebliche Konsequenzen für die Travelex-Partner, die sich bei Devisendiensten auf das Unternehmen verlassen hatten. Unter den betroffenen Organisationen befinden sich Banken wie Sainsbury's Bank, HSBC, Barclays, First Direct, Virgin Money und Asda Money.

Travelex gab am 7. Januar, eine volle Woche nach dem Vorfall, eine offizielle Erklärung ab. Darin erkennt das Unternehmen an, dass zwar einige ihrer Daten mit Sodinokibi verschlüsselt wurden, sie jedoch keinen Hinweis darauf fanden, dass "strukturierte personenbezogene Kundendaten" verschlüsselt wurden. Sie konnten auch keine Beweise dafür finden, dass Daten von den Hackern herausgefiltert wurden.

Das Unternehmen hat Monate gewartet, um kritische Sicherheitslücken zu schließen

Sicherheitsforscher wiesen auf das langsame Tempo hin, mit dem sich Travelex mit Sicherheitsproblemen befasste, die bei den Pulse Secure-VPN-Servern (Virtual Private Network) auftraten, mit denen sich die Mitarbeiter remote mit den zentralen Computersystemen verbanden. Die Probleme waren so schwerwiegend, dass Pulse Security bereits im April 2019 einen Hinweis sowie Software-Patches zur Behebung dieser Probleme herausgab. Travelex hat jedoch anscheinend acht Monate gewartet, bevor die Server endgültig gepatcht wurden, was viel Zeit lässt Die Hacker haben die Sicherheitslücken ausgenutzt und erhalten Zugriff auf das Netzwerk.

Nach britischem Recht haben Organisationen, die Opfer einer Datenschutzverletzung werden, 72 Stunden Zeit, das Information Commissioner's Office (ICO) zu benachrichtigen, sofern sie nicht der Ansicht sind, dass die Datenschutzverletzung die Rechte und Freiheiten der Menschen nicht gefährdet. In diesem Fall müssen die Organisationen Aufzeichnungen über den Verstoß führen und eine legitime Erklärung dafür vorlegen, warum sie dem ICO keinen Bericht übermittelt haben. Ein Unternehmen, das die Bestimmungen nicht einhält, kann gemäß der Allgemeinen Datenschutzverordnung (DSGVO) eine Geldbuße von maximal 4% seines weltweiten Umsatzes erleiden.

Sodinokibi nahm den Platz von GandCrab als Top Ransomware-As-A-Service ein

Sodinokibi ist seit April 2019 an der Ransomware-Front aktiv. Die Gruppe entstand, nachdem die Kriminellen hinter der berüchtigten GandCrab Ransomware bekannt gegeben hatten, dass sie in den Ruhestand treten, nachdem sie angeblich Lösegeld in Millionenhöhe eingezahlt hatten . Obwohl dies nicht bestätigt ist, glauben viele Cybersecurity-Analysten, dass einige der Personen, die hinter CandGrab-Operationen stehen, aufgrund einiger auffälliger Ähnlichkeiten im Code der beiden Ransomware-Bedrohungen zu Sodinokibi übergegangen sind.

Die Sodinokibi-Gruppe drohte, gestohlene Daten während mehrerer früherer Ransomware-Angriffe freizugeben. Das änderte sich am 10. Januar, als ein Vertreter der Hacker erklärte, dass sie beginnen, ihre Versprechen zu halten, und Links zu rund 337 MB Daten in einem Beitrag in einem russischen Hacker-Forum hochlud. Die Daten stammen angeblich von Artech Information Systems, einem der größten IT-Personalunternehmen der Welt.

Travelex veröffentlicht Update zur Wiederherstellung nach dem Angriff

Am 12. Januar veröffentlichte Travelex eine aktualisierte Erklärung auf seinen Websites. Das Unternehmen informierte seine Kunden und Partner darüber, dass es einige seiner internen und Auftragsabwicklungssysteme erfolgreich wiederhergestellt hat. Der nächste Schritt besteht darin, die Systeme, die für die elektronische Bearbeitung von Kundenbestellungen bei ihren Partnern und im eigenen Filialnetz zuständig sind, wieder online zu stellen. Darüber hinaus plant Travelex, in der kommenden Woche einen Fahrplan für die Wiederherstellung zu veröffentlichen.

Travelex wiederholte auch, dass keine Beweise für exfiltrierte Kundendaten gefunden wurden und dass sie bei der Lösung des Falls mit dem National Cyber Security Center (NCSC) und der Metropolitan Police zusammenarbeiten. Kunden, die Rückerstattungen beantragen oder Probleme besprechen möchten, werden gebeten, sich an den örtlichen Kundendienst des Unternehmens zu wenden.