Travelex es la compañía especialista en divisas más grande del mundo, con casi 800 sucursales minoristas en más de 26 países. Es propiedad de Finablr de la India, una compañía de servicios financieros con una gama de marcas de pagos y de divisas. La firma con sede en Londres está presente en más de 70 países con al menos 1.200 sucursales y 1.000 cajeros automáticos. Procesa más de 5.000 transacciones de divisas cada hora.
Según The Guardian, la empresa, está a merced de delincuentes que hace una semana lanzaron un ciberataque que los obligó a desactivar todos sus sitios web globales. Se entiende que los criminales están exigiendo dinero en efectivo y se habla de unos 3 millones de dólares para devolver a la empresa acceso a sus sistemas informáticos después de que atacaran con el ransomware Sodinokibi (REvil) el 31 de diciembre.
Asimismo, los delincuentes habrían amenazado con hacer públicos 5 GB de datos personales de los clientes -incluidos sus números de la seguridad social, fechas de nacimiento y la información de las tarjetas de pago- a menos que la empresa pague. Según información no confirmada, el incidente sería, en realidad, un ataque de ransomware que ha dejado los sistemas cifrados y el personal no puede siquiera acceder a su correo electrónico.
La situación ha obligado a cuatro bancos británicos que utilizan los servicios de cambio de divisas de Travelex a dejar de aceptar pedidos de divisas por Internet.
Los sitios de Travelex han estado fuera de línea durante una semana, y la empresa solo ofrece servicios de cambio de divisas de forma manual en sus sucursales. Los sitios del grupo continúan desinformando al mostrar a los visitantes un mensaje que indica que los servicios en línea han dejado de funcionar debido a un «mantenimiento planificado» agregando que «el sistema volverá a estar en línea en breve».
Diversos expertos en seguridad dicen que la compañía, que estaba ejecutando una plataforma de pago en AWS, parece mostrar signos de una pobre segmentación de la red.
Aparte de desinformar, Travelex ha proporcionado pocos detalles sobre el incidente, diciendo que el supuesto virus, que no identifica, había «comprometido algunos de sus servicios». Añadió: «Como medida de precaución para proteger los datos y evitar la propagación del virus, desconectamos inmediatamente todos nuestros sistemas. La empresa ‘no cree’ que se hayan robado datos de clientes».
Por su parte, el investigador de seguridad Kevin Beaumont observó que «la plataforma AWS de Travelex tenía servidores Windows con RDP habilitado para Internet y NLA [servicio de localización de redes] desactivado. Travelex también parece haber estado ejecutando Windows Server 8», un software obsoleto cuyo soporte de seguridad terminará el 14 de enero.
También se ha informado de que Travelex había sido recientemente alertada sobre las vulnerabilidades de sus servidores de red privada virtual (VPN). La solución empresarial Pulse Secure VPN para comunicaciones seguras ha sido mencionada como una «herramienta con graves defectos que la empresa utilizó sin aplicar parches para las vulnerabilidades conocidas y peligrosas». Se conoce un exploit desde agosto pasado (CVE-2019-11510).
Sin embargo, la empresa de VPNs lo desmiente, diciendo no tener información sobre los ataques. En un comentario algo críptico, Pulse Secure comentó a BleepingComputer: «Hasta ahora, no tenemos conocimiento de recibir informes directamente de los clientes sobre este exploit o derivado, no hay pruebas concretas».
Scott Gordon, Director de marketing de Pulse Secure dijo que «los actores están aprovechando la vulnerabilidad que se informó en los productos VPN Pulse Secure, Fortinet y Palo Alto, y en este caso, explotarán los servidores VPN no parcheados para propagar malware, REvil (Sodinokibi), distribuyendo y activando el Ransomware a través de mensajes interactivos de la interfaz VPN para los usuarios que intentan acceder a recursos a través de servidores Pulse VPN no parcheados y vulnerables».
Fuente: DiarioTI | The Guardian | BC