首页
论坛
专栏
课程

勒索4166万!货币兑换巨头Travelex停摆并面临数据泄露

红数位 发布于 红数位 2020-01-09 13:21

Sodinokibi勒索软件的压力显然是在除夕袭击外币兑换巨头Travelex的背后,Travelex使其客户和银行合作伙伴陷入困境,无法提供服务,目前只能使用纸和笔记录为客户服务。


我们之前已报道:

网络攻击迫使货币兑换巨头Travelex全线业务停摆



Travelex向客户表示歉意,并说:“我们正在竭尽所能,尽快恢复全部服务。” 同时,员工已改用实体店的人工管理,客户必须访问这些地点才能汇兑货币。   


今天我们来看看最新进展。


又一个勒索变数据泄露案例?


前几天我们报道了:

勒索软件攻击将变成数据泄露”,“三年有期徒刑”你们准备好了吗?
美国彭萨科拉市成遭勒索变数据泄露鲜活案例!黑客公开部分数据文件


眼下Travelex可能再次成为数据泄露新案例!



根据BBC新闻报道,负责该攻击的黑客目前已要求支付600万美元(4166万人民币)赎金,以安全恢复Travelex的加密数据。


“这只是生意。除了获得利益,我们绝对不关心您或您的详细信息。如果我们不做我们的工作和承担责任–没有人不会与我们合作。“这不符合我们的利益,”《计算机周刊》获得的勒索软件自述文件说。“如果您不与我们的服务合作–对我们来说没关系。但是您会浪费时间和数据,因为只有我们有私钥。实际上,时间比金钱更有价值。”


但外媒已经与感染Travelex系统的网络犯罪分子保持联系,他们声称如果不支付赎金,他们将发布Travelex客户的个人详细信息:

除了赎金记录外,Sodinokibi黑客人员告诉外媒,他们对整个Travelex网络进行了加密,进入内部网络长达6个月,并复制了超过5GB的个人数据,其中包括出生日期,社会保险号,卡信息和其他详细信息。

我们被告知,他们删除了备份文件,索要的赎金为300万美元。如果攻击者在7天内没有付款(倒计时很可能从12月31日开始),则攻击者表示将发布他们窃取的数据。


这位自称是Sodinokibi行动一部分的个人告诉英国广播公司,“在付款的情况下,我们将删除并且不会使用该数据库,并将它们恢复到整个网络。” 加倍付款的截止日期是两天。再过七天,整个数据我们都将卖了。”


Travelex 此前曾表示,“没有迹象表明任何个人或客户数据已被泄露”。


Sodinokibi,也称为REvil,于2019年4月出现。它造成了一系列引人注目的热潮,包括袭击了  德克萨斯州的22个市政当局  和   全国各地的牙医办公室。Secureworks Counter Threat部门(CTU)的研究人员认为,臭名昭著的GandCrab勒索软件背后的组织实际上是Sodinokibi的负责人,该勒索软件今年年初已退休,因为Sodinokibi和GandCrab使用的字符串解码功能和其他代码方面是几乎相同。



Travelex是机场无处不在的机构,在70个国家/地区的1200多家零售分支机构提供外汇服务。这次攻击导致Travelex的网站至少在20个国家/地区脱机,离开零售地点手动执行任务,许多客户被困在没有旅费的情况下。它的全球银行合作伙伴,包括巴克莱,第一汇兑,汇丰银行,塞恩斯伯里银行,乐购和维珍货币,也被甩在了身后,无法买卖外汇。


目前尚不清楚该公司是否计划支付赎金,也没有提供清理时间表。尽管该公司承认了这次攻击,但其许多网站仅显示警告屏幕,表明它们已出于“计划内维护”的考虑。


未修补的VPN服务器


研究人员怀疑网络犯罪分子利用该公司的七台Pulse Secure VPN服务器中未修补的严重漏洞进行了攻击。


据Bad Packets称,该攻击之所以能够成功,部分原因是Travelex花了几个月的时间来修补其Pulse Secure VPN服务器中的关键漏洞。


Pulse Secure提供了流行的企业远程访问产品系列。该公司在四月份发布了针对其零信任VPN产品中的两个关键漏洞的紧急补丁。CVE-2019-11510是一个任意文件读取漏洞,允许敏感信息泄露,从而使未经身份验证的攻击者可以访问私钥和用户密码;使用泄漏的凭据进行的进一步利用可能导致远程命令注入(CVE-2019-11539),并使攻击者能够获得专用VPN网络内部的访问权限。


“该漏洞的严重性令人难以置信-它允许没有有效用户名和密码的人远程连接到该设备应保护的公司网络,关闭多因素身份验证控制,以纯文本方式(包括Active Directory)远程查看日志和缓存的密码帐户密码),”解释研究员凯文·博蒙特(又名Gossi狗),在发布这个星期。


他说,在八月份,他意识到已经公开利用了公共漏洞,包括APT在内的网络犯罪分子正在积极扫描互联网以查找问题(使用Shodan搜索引擎等公共工具)。Bad Packets当月的相应报告表明,重大网络攻击可能迫在眉睫。


“在2019年8月25日,Bad Packets扫描了互联网,发现全世界有将近15,000个端点可以直接利用此问题,”博蒙特指出。“这些结果包括世界各地政府的网络-包括许多非常敏感的组织-并基本上列出了世界上最大的公司。很明显,组织根本没有修补。”


据Bad Packets称,Travelex是其中的一家客户,该公司拥有七台不安全的Pulse Secure服务器。它还说,该公司等到漏洞披露后的八个月,才等到十一月。


Bad Packets 指出,这一滞后时间可能为网络犯罪分子渗透到Travelex网络提供了一个窗口,这一推测得到了Pulse Secure本身的支持,Pulse Secure本身在本周发表声明说,它确实已经看到Sodinokibi勒索软件是通过漏洞利用来提供的。对于漏洞。


Synopsys的高级安全策略师乔纳森·克努森(Jonathan Knudsen)在一封电子邮件声明中说:“ Travelex的勒索软件情况使人们对网络安全事件的潜在破坏感到震惊。” “在这种情况下,业务损失和负面宣传可能会令人沮丧。勒索软件仍然是网络犯罪分子的流行工具……如果您成为勒索软件攻击的受害者,则必须准备好执行计划。该计划应包括从网络中删除受感染的系统,清除它们并重新安装操作系统和应用程序,然后从备份中还原数据。”


大范围勒索的黑客

Travelex并非唯一遭受大笔赎金的受害者。自1月1日以来,REvil计分板增加了七个受害者:



去年春天出现了Sodinokibi / REvil勒索软件活动。它是由Cisco Talos于2019年4月首次发现的,该攻击利用了Oracle WebLogic服务器漏洞。勒索软件本身利用Windows Win32k组件中的一个漏洞,该漏洞允许提升特权,从而使它能够杀死一系列进程,这些进程可能使其无法加密文件,清除某些文件夹的内容并加密其他文件夹的内容(包括网络)分享。


该恶意软件还会发回有关受感染系统的基本信息。但是REvil本身没有任何自我传播的手段。取而代之的是,攻击者使用各种访问方法来安装和启动越来越复杂的恶意软件,包括垃圾邮件活动,对远程桌面协议服务的攻击以及在某些情况下利用托管服务提供商的攻击,以攻击其客户。


根据Shodan安全搜索引擎的数据,尽管国土安全部网络安全和基础设施安全局在10月发出警告,但美国的组织仍在使用一千多台易受攻击的Pulse Secure服务器。像不可避免的那样,发生更多类似Travelex的攻击是不可避免的。


分享到:
最新评论 (0)
登录后即可评论