Het kan langer duren voordat je geld wordt gewisseld als je op reis gaat, aangezien Travelex alles op papier doet vanwege een ransomware-aanval.

In april 2019 bracht Pulse Secure een dringende patch uit voor een kwetsbaarheid in zijn populaire zakelijke VPN-software – een kwetsbaarheid waardoor aanvallers op afstand toegang konden krijgen zonder gebruikersnaam of wachtwoord, maar ook om multi-factor authenticatie uit te schakelen en logs te bekijken, gebruikersnamen en wachtwoorden in de cache opgeslagen door de VPN-server in platte tekst. Nu gebruikt een cybercriminele groep die kwetsbaarheid om slachtoffers te targeten en te infiltreren, gegevens te stelen en ransomware te installeren.

Travelex, de valutawissel- en reisverzekeringsmaatschappij, lijkt het laatste slachtoffer van de groep te zijn. Op oudejaarsavond werd het bedrijf getroffen door Sodinokibi ransomware, ook wel bekend als REvil. De ransomware-operators namen contact op met de BBC en zeiden dat ze willen dat Travelex $ 6 miljoen (拢 4,6 miljoen) betaalt. Ze beweerden ook zes maanden toegang te hebben gehad tot het netwerk van Travelex en vijf gigabyte aan klantgegevens te hebben opgehaald, waaronder geboortedata, creditcardgegevens en andere persoonlijk identificeerbare informatie.

“In het geval van betaling zullen we dat verwijderen en zullen we dat niet gebruiken [data]baseren en het hele netwerk herstellen”, vertelde de persoon die beweerde deel uit te maken van de Sodinokibi-operatie tegen de BBC. “De deadline voor het verdubbelen van de betaling is twee dagen. Daarna nog zeven dagen en de verkoop van de hele basis.”

Beveiligingsonderzoeker Kevin Beaumont ontdekte dat Travelex zeven niet-gepatchte Pulse Secure-servers had. Een exploit voor het beveiligingslek is sinds augustus 2019 beschikbaar op internetbulletinboards.

Travelex is niet het enige slachtoffer dat wordt geslagen met hoge eisen voor losgeld. Sinds 1 januari zijn er zeven slachtoffers toegevoegd aan het REvil-scorebord:

REvil begint het jaar sterk en vraagt ​​om serieus geld. We werken aan een blog waarin wordt beschreven hoe erg het is, in de hoop dat het eind van de maand van start gaat.

cc @GossiTheDog pic.twitter.com/0Katzxd7aW

– rik van duijn (@rikvduijn) 6 januari 2020

De Sodinokibi/REvil ransomware-campagne is afgelopen voorjaar gelanceerd. Het werd voor het eerst geïdentificeerd door Cisco Talos in april 2019 bij een aanval waarbij misbruik werd gemaakt van een kwetsbaarheid van een Oracle WebLogic-server. De ransomware zelf maakt misbruik van een kwetsbaarheid in de Win32k-component van Windows die het mogelijk maakt om zijn privileges te verhogen, waardoor het een lijst met processen kan vernietigen die zouden kunnen voorkomen dat het bestanden versleutelt, de inhoud van sommige mappen wist en de inhoud van andere versleutelt, inclusief netwerk aandelen.

De malware stuurt ook basisinformatie over het geïnfecteerde systeem terug. Maar REvil heeft zelf geen enkele manier om zichzelf te verspreiden. In plaats daarvan hebben de aanvallers verschillende toegangsmethoden gebruikt om de malware steeds geraffineerder te installeren en te lanceren, waaronder spamcampagnes, aanvallen op Remote Desktop Protocol-services en in verschillende gevallen de uitbuiting van beheerde serviceproviders, om hun klanten aan te vallen.

Op basis van gegevens van de Shodan-beveiligingszoekmachine worden nog steeds meer dan duizend kwetsbare Pulse Secure-servers beheerd door organisaties in de VS, ondanks waarschuwingen van de Cybersecurity and Infrastructure Security Agency van het Department of Homeland Security in oktober. Meer aanvallen zoals die van Travelex lijken onvermijdelijk.

By Admin

Leave a Reply

Your email address will not be published. Required fields are marked *