网络歹徒在'德迪内基'袭击后,从旅行的需求付款
外汇公司Travelex正在接受支付的需求,以便在被称为SODINOKIBI的最复杂的赎金软件攻击之后解密关键计算机档案,该次数被称为SODINOKIBI,它在新年前夜禁用其IT系统。
该公司在70个国家开展业务,在刑事黑客渗透其计算机网络后面临干扰的日子,并在许多工作人员度过许多工作人员度假时达到毁灭性的攻击。
根据安全专家,犯罪分子要求使用六脚款提供Travelex,其中允许它允许它遍及其计算机网络已被病毒加密的文件内容。
大都会警察局的网络犯罪单位在赎金软件感染金融服务公司网络后两天违约时开始调查。
遇见在一份声明中说:“1月2日星期四,遇见的网络犯罪团队与报告的赎金软件攻击联系,涉及外币兑换。询问情况正在进行中。“
由阿布扎比金融服务集团Finabir拥有的Travelex已将受害者占据了最复杂的网络敲击球拍之一。
SodInokibi,也称为Revil,于2019年4月出现,提供犯罪团伙有机会租用赎金软件并定制它以旨在为自己的受害者提供换取利润。据McAfee的研究,一些犯罪团体有与叙利亚和伊朗的联系。
地图显示了钠源感染发生的地方在安全研究人员首次披露问题之后,这一披露需要八个月的时间来修补包含严重安全漏洞的修补程序服务器,使其网络易受网络犯罪分子的攻击。
Malware击中Travelex,在2019年12月31日在2019年12月31日加密关键业务文件并留在受感染的计算机上的Readme文档时,在2019年初期拥有1,200个分支机构。
README文件指示Travelex通过一个网站在2019年3月在中国注册的顶级域名支付比特币的赎金。
网络罪犯为受害者收取一倍未能达到赎金的截止日期(来源:此页面由一个匿名的受害者提供,并没有与Travelex相关联)“这只是生意。除了获得福利之外,我们绝对不关心您或您的详细信息。如果我们不做我们的工作和负债 - 没有人不会与我们合作。它不是我们的兴趣,“Readme文件读取。
“如果您不与我们的服务合作 - 对于我们而言,这无关紧要。但是你会失去你的时间和数据,因为我们有私钥。在实践中,时间比金钱更有价值。“
黑客指示Travelex员工使用安全的Tor浏览器访问一个网站,似乎托管在我们的科罗拉多州的数据中心。该网站提示usersto进入一个长传播键,将解锁有关如何支付赎金的说明来释放解密工具。
Cyber Gangsters直接公司到一个网站,了解有关如何支付赎金来解密其文件的说明(来源:此页面由一个匿名的受害者提供,并没有与Travelex相关联)攻击导致不同国家的至少20个旅行网站变得无法进入,并在机场和其他零售网站中留下其出口,而无需访问互联网或电子邮件或旅游的IT系统,因为公司关闭系统以防止病毒的传播。
熟悉该攻击的人每周告诉计算机,其中包含包括客户端和银行帐户和交易详细信息的机密信息的计算机已被SodInokibi感染,这将随机字符串添加到每个加密文件的末尾。
该袭击还扰乱了银行,包括Sainsbury的银行,巴克莱,汇丰银行,处女资金,首先直接和Asda Money,以及依靠Travelex提供其外汇服务的其他人。
Travelex工作人员已被迫手动录制交易,并且无法为外币支付或向已预先订购其收集的旅行者提供预购货币。
客户已抱怨他们无法充值旅行货币卡,确认事务已发生,查看余额或使用Travelex应用程序。
基于肯特的摄影师David Milne每周在1月5日告诉计算机,他仍在等待旅游,通过1岁的货币转移来提供500英镑。
“我认为这些资金是贫穷的,但没有人似乎可以脱掉任何光线,”他说。
计算机每周已建立Travelex已等待八个月来修补脉冲安全虚拟专用网络(VPN)服务器中的关键安全弱点,以便为其中央计算机提供远程互联网访问的员工,让公司的网络易受网络访问犯罪分子。
安全研究人员报告说,脉冲安全VPN服务包含可能允许人们获得对公司网络的封面访问的错误,提示脉冲安全,以发出咨询通知和软件修补程序于2019年4月纠正问题。
安全公司坏数据包将电子邮件发送到数千家具有易受攻击的脉冲安全VPN服务的公司,识别黑客正在尝试利用漏洞。
它警告Travelex于9月13日,它在澳大利亚,荷兰,英国和美国拥有七个未染色的脉冲安全VPN服务器,漏洞可以允许攻击者访问其网络,但没有收到响应。
10月初,英国国家网络安全中心(NCSC)是GCHQ的一部分,其中包括关于网络安全和美国国家安全机构的业务,发出警报警告,即网络罪犯正在通过脉冲安全性漏洞渗透全球组织其他VPN。
“这项活动正在进行中,针对英国和国际组织。受影响的部门包括政府,军事,学术,商业和医疗保健,“NCSC警告说。
“这些VPN产品的用户应调查他们的日志以获得妥协的证据,特别是如果可能在释放后立即不申请补丁。”
坏数据包的分析显示,Travelex没有修补服务器,直到2019年11月初,留下了一个关键窗口,其中服务器容易受到攻击。
糟糕数据包的首席研究官员Troy Mursch表示,在修补其服务器之前,黑客可能会获得旅行进入。
“我不想推测太多,但是一旦有人损害了一个网络并在里面获得了立足点,他们就可以随时激活[恶意软件],”他说。“这不是公司拥有一个VPN服务器的情况 - 他们在其公司网络内有多个网关。”
根据McAfee Labs的研究人员说,网络攻击者使用各种技巧来植物在目标计算机网络上植物苏丹基金。这些包括有针对性的网络钓鱼电子邮件攻击AndPloit套件 - 妥协的网站用于传播恶意软件。
然而,大多数攻击都是由定位Microsoft的远程桌面协议(RDP)的黑客启动,这允许IT服务工程师远程访问Windows计算机。
“将RDP直接曝光到互联网上不是推荐的练习,因为它允许攻击者反复尝试不同的密码来获取访问”Kevin Beaumont,安全专家根据Coveware的说法,一家专门谈判与网络罪犯的赎金支付,任何使用RDP的公司都是“使用赎金软件的轮盘赌”。
RDP已成为黑客使用的常见攻击载体到索引端点安全性,并使穿透折叠网络和备份系统简单。它说是“种植恶意软件的完美接入点”。
安全专家Kevin Beaumont每周告诉计算机,Travelex已允许从Internet访问RDP,而无需使用网络级身份验证,提供一层安全性。
这意味着黑客可以访问Travelex网络上计算机的登录屏幕,并使用“蛮力”软件来猜测密码。
“将远程桌面[协议]直接曝光到Internet不是推荐的练习,因为它允许攻击者反复尝试不同的密码来获取访问权限。通常,您将收到数千家登录尝试,如此 - 较早或之后,攻击者将获得访问权限,“他说。
显示澳大利亚Travelex服务器的屏幕截图。从Internet访问服务器的远程桌面协议,使其易受蛮力密码攻击攻击Travelex表示,它已经部署了IT专家和外部计算机安全专家的团队,自新年前夜以来一直在持续工作以抵消病毒和恢复受影响的系统。它拒绝说是否将支付赎金。
“如果[黑客]有权访问[Microsoft] Active Directory,这意味着它们将钥匙与您的城堡有关。他们有管理员权利。他们有多个入场向量“Raj Samani,McAfeeMcAfee的首席科学家Raj Samani表示,公司可能会尽可能提前识别SodInokibi攻击,但是一旦他们收到了赎金软件,他们更难以恢复。
在网络内部,黑客可能会删除日志以覆盖它们的曲目并开发其他方法来访问网络,即使是公司修补漏洞。
“如果他们可以访问[Microsoft] Active Directory,这意味着它们将钥匙与您的城堡有关。他们有管理员权利。他们有多个进入载体,“他说。
“支付赎金只是冰山的顶部,因为它在这一点上你将需要p out out你是否可以恢复系统。有公司已经重建了整个网络。“
苏丹基比的解密网站将受害者承诺100%的成功率在恢复案件时恢复赎金(来源:此页面由一个匿名的受害者提供,并没有与Travelex相关联)昨晚,病毒感染一周后,欧洲20个国家的Travelex网站和中东仍然无法进入。
旅行者在欧洲的网站(包括英国,德国和法国)的访问者被打招呼,并因为“计划维护”而不可用的通知。
其他Travelex网站,包括那些Initaly和Bahrain,报告说,在Travelex改进时,服务暂时无法使用。
加拿大网站的游客被告知,旅行是关于计划的重新设计的“兴奋”,并为其暂时不可用“在大揭露之前”。新西兰和土耳其的网站返回申请错误。
更新:1月7日,Travelex向其美国公司网站的通知添加了通知,披露了其客户的安全漏洞。
1月7日,Travelex将此通知添加到美国网站Matt Fowler的额外研究。
这个故事在2020年1月7日的额外信息中更新了更多信息。
旅游客户留在泥龙
Travelex客户采取社交媒体抱怨他们在WebRiseJulia Gregory的网络攻击中被网络攻击留下了Limbo。
一位客户推文作为本杰明米饭说他有美元的订单,正在努力得到它们。“嗨,我试图在过去几天过去使用你的网站来订购/收集周一的收藏品,但似乎有页面上的永久运行时错误。有问题吗?我可以订购另一种方式来保证最优惠的价格吗?“
基于奥克兰的招聘公司经理Matt Bartlett宣传了他对失踪金钱的问题。Travelex让他私下联系他们来解决这个问题。
CEZZ Pulvinar推文,她对恶意软件攻击不便,并计划在抵达其目的地时兑换现金。当@ Missvee0412时,她说:“不得不花费两倍的金额来获得现金,因为我现在无法在线订购和在线支付。有些人更喜欢现金而不是卡。“她补充说:“所有系统崩溃/许多人被黑客攻击,但每个人都会很好,因为早些时候会发现出来!我希望你很快解决问题!“
Nick Meiris联系了Travelex,了解如何在1月3日之前查看他的账户的余额:“我现在无法检查3天,它正在成为一个笑话,并开始影响我的假期......”该公司将他指向一个人来帮助他追踪他的假期钱。
Travelex表示,它正在使用外部IT安全专家,以及部署自己的团队,尽快破解问题。它表示,他们“自新年前夜持续工作以孤立病毒和恢复受影响的系统”。
下一步
宏碁从Revil Ransomware集团的明显攻击中击中