Travelex in Geiselhaft von Hackern

Hacker stehen in Kontakt mit BBC – und wohl auch mit Travelex – bezüglich finanzieller Forderungen, da sie anscheinend eine Menge Daten eingefangen haben. Die Angreifer sowie Ihr Scenario sind seit mindestens April 2019 unter dem Synonym REvil oder auch Sodinokibi bekannt und nutzten Silvester, um die Attacke zu starten bei der Travelex seitdem seine EDV runterfahren muss (8.1.2020) und Stift und Papier wieder hervornehmen müssen. Gegen Zahlung von 6 mill. US $ versprechen Sie gegenüber BBC die Daten diskret zu vernichten. Bei Nichtzahlung hingegen sollen die 5GB Daten veröffentlicht und die Server verschlüsselt werden.

The hackers said: „In the case of payment, we will delete and will not use that [data]base and restore them the entire network.
„The deadline for doubling the payment is two days. Then another seven days and the sale of the entire base.“

Diese Frist ist inzwischen vorbei. Aber auch die gesetzliche Meldefrist dem britischen Datenschutzbeauftragen (ICO) Meldung über Vorfälle zu erstatten ist verstrichen und dementsprechende Strafen stehen nun ebenfalls aus.

Den Kunden, die vorher Geld überwiesen, um nun die Fremdwährung abzubuchen, ist damit nicht geholfen. Sie finden sich auf einer Seite wieder, die Ihnen seit dem 31.12.19 „planmäßige Wartungsarbeiten“ ankündigt. Denn das “world’s largest foreign exchange bureau” ist offline auf diversen Kontinenten. Andere britische Geldanbieter, wie Virgin Money, Sainsbury’s Bank oder Tesco sind ebenfalls von dieser Attacke betroffen und mussten Ihr Reisegeldangebot erst einmal schließen, aber auch eine HSBC Tochter oder Marks & Spencers räumen temporäre Schließungen dieser Art von Dienstleistungen ein.

Aktuelle Untersuchungen gehen von einem Angriff auf das ungepatchte VPN aus. Diese Lücke ist seit April 2019 bekannt (=8 Monate) und weltweit desöfteren auf Servern ungepatched. Im offiziellen Fokus steht in diesem Kontext VPN-Software Pulse Connect Secure und die längst gepatchte Sicherheitslücke CVE-2019-11510. Heise.de verweist hierbei auf Kevin Beaumonts Veröffentlichungen diesbezüglich.
Bleibt abzuwarten wer welche Konsequenzen tragen muss.

Quellen:
https://www.bbc.com/news/business-51017852
https://www.bbc.com/news/business-51026383
https://www.heise.de/security/meldung/Jetzt-patchen-Ransomware-Attacken-auf-VPN-Server-mit-Pulse-Connect-Secure-4629452.html
https://doublepulsar.com/big-game-ransomware-being-delivered-to-organisations-via-pulse-secure-vpn-bd01b791aad9