Travelex ten onder aan ongepatchte VPN-server
Financieel kantoor en geldwisselaar Travelex is getroffen door een zware ransomware-aanval van de Sodinokibi bende. Een ongepatchte VPN-server lijkt aan de basis te liggen.
Travelex werd op 31 december getroffen door een ransomware-aanval. Het bedrijf heeft daarna alle sites en diensten in ongeveer twintig landen, waaronder België, uit de lucht gehaald. De diensten van het bedrijf zijn overgeschakeld op papier en het is nog niet duidelijk wanneer alles terug up and running zal zijn. Ze zijn op moment van schrijven nog niet bereikbaar.
De aanval wordt opgeëist door een ransomwarebende genaamd Sodinokibi. Die zegt dat ze een zestal maanden geleden toegang kregen tot het netwerk van het bedrijf en ondertussen 5 gigabyte aan gevoelige data hebben gedownload waaronder geboortedata, kredietkaartinformatie en verzekeringsnummers. De aanvallers eisen een losgeld van 6 miljoen dollar in bitcoin, zo zeggen ze zelf aan de Britse omroep BBC. De originele som was drie miljoen dollar, maar dat bedrag is ondertussen verdubbeld. Als het bedrijf deze week niet betaalt, dreigt de bende om de gegevens publiek te verkopen.
Travelex zegt dat er geen aanwijzingen zijn dat er effectief persoonsgegevens werden buitgemaakt. Het heeft ook nog geen aangifte in die zin neergelegd bij de Britse privacycommissie. Onder de GDPR-regels moet dat gebeuren binnen de 72 uur nadat een bedrijf zo’n gegevensdiefstal ontdekt. Het onderzoek naar de hack wordt gevoerd door de cybercrime team van de Britse Metropolitan Police.
Een lek in de VPN
De hackers zouden zijn binnengekomen via een ongepatchte VPN-server. Specifiek gaat het om het lek dat VPN-maker Pulse Secure in april vorig jaar bekendmaakte. Toen bleek dat er een kwetsbaarheid in zijn software zat die het mogelijk maakte om zonder wachtwoord of gebruikersnaam toegang te krijgen tot de systemen, logs te bekijken en meerstapsverificatie uit te zetten. Daar werd toen een dringende patch voor uitgebracht, die volgens security-onderzoekers te traag werd geïnstalleerd. Securitybedriijf Bad Packets zegt op Twitter bijvoorbeeld dat het Travelex in september waarschuwde dat het kwetsbaar was voor deze hack, maar het kreeg daar geen antwoord op. In november zou de patch dan wel zijn doorgevoerd, maar toen was het al te laat.
Het lijkt er alvast op dat de ransowmarebende deze kwetsbaarheid heeft gebruikt om bij Travelex binnen te geraken. Sodinokibi, ook gekend als REvil, is sinds de lente vorig jaar met een ransomwarecampagne bezig. De ransomware zelf maakt misbruik van een kwetsbaarheid in de Windows Win32k component die de rechten van gebruikers beheert. Op die manier kan de ransomware bestanden versleutelen of verwijderen waar het anders geen schrijftoegang tot heeft.
De malware stuurt ook informatie over terug over de systemen waarop het staat maar het is zelf geen worm en verspreid zich niet op eigen houtje. De aanvallers hebben dan ook andere methoden gebruikt om de malware op verschillende systemen te installeren, waaronder aanvallen op diensten voor Remote Desktop Protocol en in het geval van Travelex, kwetsbaarheden in de VPN.
Op papier
Nadat de aanval aan het licht kwam, heeft Travelex al zijn computersystemen offline gehaald. Werknemers van het bedrijf op bijvoorbeeld luchthavens werken nu met pen en papier om geld te kunnen blijven wisselen, maar online zijn orders niet meer mogelijk. Ook banken die met Travelex werken om geld te wisselen, kunnen geen orders meer uitvoeren. Werknemers melden aan de BBC dat ze al een week hun werkcomputer niet meer kunnen gebruiken, en dat ze bijzonder slecht worden geïnformeerd, iets wat wordt tegengesproken door een woordvoerder van het bedrijf.
Ondertussen komen ook verhalen van klanten boven water, die al meer dan een week hun geld niet terug kunnen krijgen. Travelex geeft alvast toe dat het zijn klanten nog niet over de aanval heeft geïnformeerd, buiten een mededeling op de website. Het schrijft dat gebrek aan communicatie deels toe aan het feit dat het alle computersystemen offline heeft gehaald.
Fout opgemerkt of meer nieuws? Meld het hier