勒索4166萬!貨幣兌換巨頭Travelex停擺並面臨資料洩露

紅數位發表於2020-01-09

Sodinokibi勒索軟體的壓力顯然是在除夕襲擊外幣兌換巨頭Travelex的背後,Travelex使其客戶和銀行合作伙伴陷入困境,無法提供服務,目前只能使用紙和筆記錄為客戶服務。


我們之前已報導:

網路攻擊迫使貨幣兌換巨頭Travelex全線業務停擺


勒索4166萬!貨幣兌換巨頭Travelex停擺並面臨資料洩露


Travelex向客戶表示歉意,並說:“我們正在竭盡所能,儘快恢復全部服務。” 同時,員工已改用實體店的人工管理,客戶必須訪問這些地點才能匯兌貨幣。   


今天我們來看看最新進展。


又一個勒索變資料洩露案例?


前幾天我們報導了:

勒索軟體攻擊將變成資料洩露”,“三年有期徒刑”你們準備好了嗎?
美國彭薩科拉市成遭勒索變資料洩露鮮活案例!黑客公開部分資料檔案


眼下Travelex可能再次成為資料洩露新案例!


勒索4166萬!貨幣兌換巨頭Travelex停擺並面臨資料洩露


根據BBC新聞報導,負責該攻擊的黑客目前已要求支付600萬美元(4166萬人民幣)贖金,以安全恢復Travelex的加密資料。


“這只是生意。除了獲得利益,我們絕對不關心您或您的詳細資訊。如果我們不做我們的工作和承擔責任–沒有人不會與我們合作。“這不符合我們的利益,”《計算機週刊》獲得的勒索軟體自述檔案說。“如果您不與我們的服務合作–對我們來說沒關係。但是您會浪費時間和資料,因為只有我們有私鑰。實際上,時間比金錢更有價值。”


但外媒已經與感染Travelex系統的網路犯罪分子保持聯絡,他們聲稱如果不支付贖金,他們將釋出Travelex客戶的個人詳細資訊:

除了贖金記錄外,Sodinokibi黑客人員告訴外媒,他們對整個Travelex網路進行了加密,進入內部網路長達6個月,並複製了超過5GB的個人資料,其中包括出生日期,社會保險號,卡資訊和其他詳細資訊。

我們被告知,他們刪除了備份檔案,索要的贖金為300萬美元。如果攻擊者在7天內沒有付款(倒數計時很可能從12月31日開始),則攻擊者表示將釋出他們竊取的資料。


這位自稱是Sodinokibi行動一部分的個人告訴英國廣播公司,“在付款的情況下,我們將刪除並且不會使用該資料庫,並將它們恢復到整個網路。” 加倍付款的截止日期是兩天。再過七天,整個資料我們都將賣了。”


Travelex 此前曾表示,“沒有跡象表明任何個人或客戶資料已被洩露”。


Sodinokibi,也稱為REvil,於2019年4月出現。它造成了一系列引人注目的熱潮,包括襲擊了  德克薩斯州的22個市政當局  和   全國各地的牙醫辦公室。Secureworks Counter Threat部門(CTU)的研究人員認為,臭名昭著的GandCrab勒索軟體背後的組織實際上是Sodinokibi的負責人,該勒索軟體今年年初已退休,因為Sodinokibi和GandCrab使用的字串解碼功能和其他程式碼方面是幾乎相同。


勒索4166萬!貨幣兌換巨頭Travelex停擺並面臨資料洩露


Travelex是機場無處不在的機構,在70個國家/地區的1200多家零售分支機構提供外匯服務。這次攻擊導致Travelex的網站至少在20個國家/地區離線,離開零售地點手動執行任務,許多客戶被困在沒有旅費的情況下。它的全球銀行合作伙伴,包括巴克萊,第一匯兌,匯豐銀行,塞恩斯伯裡銀行,樂購和維珍貨幣,也被甩在了身後,無法買賣外匯。


目前尚不清楚該公司是否計劃支付贖金,也沒有提供清理時間表。儘管該公司承認了這次攻擊,但其許多網站僅顯示警告螢幕,表明它們已出於“計劃內維護”的考慮。


未修補的VPN伺服器


研究人員懷疑網路犯罪分子利用該公司的七臺Pulse Secure VPN伺服器中未修補的嚴重漏洞進行了攻擊。


據Bad Packets稱,該攻擊之所以能夠成功,部分原因是Travelex花了幾個月的時間來修補其Pulse Secure VPN伺服器中的關鍵漏洞。


Pulse Secure提供了流行的企業遠端訪問產品系列。該公司在四月份釋出了針對其零信任VPN產品中的兩個關鍵漏洞的緊急補丁。CVE-2019-11510是一個任意檔案讀取漏洞,允許敏感資訊洩露,從而使未經身份驗證的攻擊者可以訪問私鑰和使用者密碼;使用洩漏的憑據進行的進一步利用可能導致遠端命令注入(CVE-2019-11539),並使攻擊者能夠獲得專用VPN網路內部的訪問許可權。


“該漏洞的嚴重性令人難以置信-它允許沒有有效使用者名稱和密碼的人遠端連線到該裝置應保護的公司網路,關閉多因素身份驗證控制,以純文字方式(包括Active Directory)遠端檢視日誌和快取的密碼帳戶密碼),”解釋研究員凱文·博蒙特(又名Gossi狗),在釋出這個星期。


他說,在八月份,他意識到已經公開利用了公共漏洞,包括APT在內的網路犯罪分子正在積極掃描網際網路以查詢問題(使用Shodan搜尋引擎等公共工具)。Bad Packets當月的相應報告表明,重大網路攻擊可能迫在眉睫。


“在2019年8月25日,Bad Packets掃描了網際網路,發現全世界有將近15,000個端點可以直接利用此問題,”博蒙特指出。“這些結果包括世界各地政府的網路-包括許多非常敏感的組織-並基本上列出了世界上最大的公司。很明顯,組織根本沒有修補。”


據Bad Packets稱,Travelex是其中的一家客戶,該公司擁有七臺不安全的Pulse Secure伺服器。它還說,該公司等到漏洞披露後的八個月,才等到十一月。


Bad Packets 指出,這一滯後時間可能為網路犯罪分子滲透到Travelex網路提供了一個視窗,這一推測得到了Pulse Secure本身的支援,Pulse Secure本身在本週發表宣告說,它確實已經看到Sodinokibi勒索軟體是通過漏洞利用來提供的。對於漏洞。


Synopsys的高階安全策略師喬納森·克努森(Jonathan Knudsen)在一封電子郵件宣告中說:“ Travelex的勒索軟體情況使人們對網路安全事件的潛在破壞感到震驚。” “在這種情況下,業務損失和負面宣傳可能會令人沮喪。勒索軟體仍然是網路犯罪分子的流行工具……如果您成為勒索軟體攻擊的受害者,則必須準備好執行計劃。該計劃應包括從網路中刪除受感染的系統,清除它們並重新安裝作業系統和應用程式,然後從備份中還原資料。”


大範圍勒索的黑客

Travelex並非唯一遭受大筆贖金的受害者。自1月1日以來,REvil計分板增加了七個受害者:


勒索4166萬!貨幣兌換巨頭Travelex停擺並面臨資料洩露


去年春天出現了Sodinokibi / REvil勒索軟體活動。它是由Cisco Talos於2019年4月首次發現的,該攻擊利用了Oracle WebLogic伺服器漏洞。勒索軟體本身利用Windows Win32k元件中的一個漏洞,該漏洞允許提升特權,從而使它能夠殺死一系列程式,這些程式可能使其無法加密檔案,清除某些資料夾的內容並加密其他資料夾的內容(包括網路)分享。


該惡意軟體還會發回有關受感染系統的基本資訊。但是REvil本身沒有任何自我傳播的手段。取而代之的是,攻擊者使用各種訪問方法來安裝和啟動越來越複雜的惡意軟體,包括垃圾郵件活動,對遠端桌面協議服務的攻擊以及在某些情況下利用託管服務提供商的攻擊,以攻擊其客戶。


根據Shodan安全搜尋引擎的資料,儘管國土安全部網路安全和基礎設施安全域性在10月發出警告,但美國的組織仍在使用一千多臺易受攻擊的Pulse Secure伺服器。像不可避免的那樣,發生更多類似Travelex的攻擊是不可避免的。

相關文章