Nova godina, stari ransomware - Sodinokibi nastavlja pohod!

Iza napada na poznatu menjačnicu Travelex stoji REvil/Sodinokibi malver.

Nova godina, stari ransomware - Sodinokibi nastavlja pohod!

Uvod u 2020. godinu obeležio je veliki ransomware napad. Napadači su najverovatnije eksploatisali kritičnu ranjivost (za koju postoji patch) u 7 Pulse Secure VPN servera kompanije i tako paralisali funkcionisanje servisa u 20 od 70 zemalja u kojima Travelex posluje. To znači da su mnogi klijenti ostali bez mogućnosti da koriste svoj novac, a globalni partneri poput Barclays, First Direct, HSBC, Sainsbury’s Bank, Tesco i Virgin Money bez načina da prodaju/kupuju stranu valutu.

Za dekriptor napadači traže čak 6 miliona dolara! Nije poznato da li kompanija planira da plati.

Sodinokibi/REvil se pojavio u 2019. godini i naslednik je ugašene GandCrab operacije. Pogodio je mnoge organizacije, uključujući i 22 opštine u Teksasu i brojne stomatološke ordinacije u SAD-u.

Napad koji je mogao biti sprečen

Patch za dve kritične ranjivosti u Pulse Secure VPN serverima postoji od aprila 2019, ali Travelex ih nije primenio. U pitanju su ranjivosti CVE-2019-11510 i CVE-2019-11539, a posebno je opasno što dozvoljavaju napadačima da se bez validnih kredencijala povežu na korporativnu mrežu, isključe multifaktorsku kontrolu, pregledaju logove i keširane lozinke u otvorenom tekstu (uključujući i lozinke za naloge u AD-u). U avgustu je CyberSec ekspert Kevin Beaumont otkrio da postoje exploiti za ove ranjivosti i da kriminalci i APT grupe aktivno pretražuju internet u potrazi za ranjivim serverima (preko javno dostupnih alata kao što je Shodan pretraživač).

Takođe, Bad Packets izveštaj iz istog meseca nagovestio je da su zbog pasivnog pristupa (neprimenjivanja patch-ova) veliki sajber napadi neizbežni. U tom trenutku pretraga je otkrila oko 15.000 ranjivih krajnjih tačaka širom sveta. Mnoge od ovih mreža pripadaju državnim telima, organizacijama koje rukuju izuzetno osetljivim informacijama i velikim multinacionalnim kompanijama. Jedna od njih je i Travelex kome je trebalo 8 meseci da krene u proces rešavanja problema ranjivih servera. Taj vremenski period je bio i više nego dovoljan da se neko infiltrira u mrežu i otpočne sajber napad.

Izvor: Threat Post

Dopuna - 15.01.2020.

Napad na Travelex je ostavio posledice na poslovanje poznatih banaka u UK-u i ukazao na opasnosti koje mogu isplivati na površinu u isprepletanoj i povezanoj međunarodnoj ekonomiji današnjice. Banke kao što su Royal Bank of Scotland, Lloyds Banking Group, Barclays, HSBC nisu mogle da vrše online transakcije strane valute pa su korisnici bili prinuđeni da dolaze lično u poslovnice da izvrše zamenu. Slučaj je izazvao polemiku o tome kakve posledice sve veća digitalizacija finansijskog sistema može imati na kompanije, institucije i korisnike. Efikasno funkcionisanje pojedinačnih organizacija sve više zavisi od drugih organizacija, što kada se posmatra "šira slika" stavlja čitav finansijski sistem pod rizik u slučaju sajber bezbednosnog incidenta.