Travelex golpeó con el poderoso ataque de Sodinokibi Ransomware

“Si no coopera con nuestro servicio, para nosotros no importa. Pero perderá su tiempo y sus datos … «

Mientras que la mayor parte del mundo estaba preparando sus celebraciones de Nochevieja, Travelex se enfrentaba a un devastador ataque de ransomware. En las primeras horas del 31 de diciembre, la compañía de cambio de divisas propiedad de FinabIr fue golpeada con Sodinokibi , una cepa de ransomware potente y altamente sofisticada que encriptaba archivos comerciales clave y dejaba archivos léame en las computadoras infectadas. Estos archivos readme instruyeron a Travelex a pagar un pago de seis cifras en bitcoin a través de un dominio de nivel superior registrado en China. Los piratas informáticos dirigieron al personal de Travelex a un sitio web que solicitaba a los usuarios ingresar una clave de acceso que desbloqueara instrucciones sobre cómo pagar el rescate.

El ataque hizo que los sitios web de Travelex en 20 países fueran inaccesibles y dejó sus puntos de venta de aeropuertos sin acceso a internet o correo electrónico. Los informes afirman que las computadoras que contienen información confidencial como nombres de clientes y detalles de cuentas bancarias habían sido infectadas con el virus. El ataque de Soninokibi no solo interrumpió las operaciones de Travelex; También causó interrupciones en bancos como Barclays, Virgin Money y Sainsbury’s.

Los equipos de TI de Travelex han estado trabajando desde la víspera de Año Nuevo para restaurar los sistemas afectados y aislar el virus. Travelex se ha negado a comentar si pagará el rescate, pero, de cualquier manera, este no es un buen aspecto para Travelex.

Importancia de parchar

Derramando sal sobre la herida fresca de Travelex, se reveló que la compañía esperó meses para reparar una vulnerabilidad de seguridad bien conocida en los servidores Pulse Secure VPN que usa para el acceso remoto a Internet.

En abril del año pasado, Pulse Secure VPN lanzó un aviso de aviso y parches de software después de que los investigadores determinaron que sus servicios contenían una serie de vulnerabilidades que podrían proporcionar acceso encubierto a la red de una organización. En septiembre, expertos en seguridad alertaron a miles de empresas de que los hackers habían estado trabajando para explotar esas vulnerabilidades. El análisis realizado por Bad Packets mostró que Travelex no había parcheado sus servidores hasta principios de noviembre de 2019.

El ransomware siempre está cambiando

Es importante recordar que un ataque de ransomware como este no es único. Solo tenemos que revisar los últimos cinco años para recordarnos los ataques de WannaCry , SimpleLocker y TeslaCrypt . El ransomware es evasivo y siempre se adapta para evitar la defensa del sistema.

Como lo ilustra el ataque Travelex, para estar #CyberFit y listo para enfrentar las últimas amenazas, las organizaciones y los proveedores de servicios que los ayudan deben adoptar el enfoque de la protección cibernética moderna , que combina protección de datos comprobada y seguridad cibernética de vanguardia.

¿Qué es Sodinokibi y cómo funciona?

En abril de 2019, el equipo de Cybereason Nocturnus encontró y analizó una nueva raza altamente evasiva de ransomware llamada Sodinokibi. El ransomware cifra todos los archivos corporativos críticos, excepto los que figuran en los archivos de configuración. Si bien el sistema afectado es utilizable, toda la información comercial clave almacenada en el sistema es inaccesible.

Los ciberdelincuentes utilizan una amplia gama de técnicas para instalar Sodinokibi en redes informáticas específicas. El ransomware está dirigido al Protocolo de escritorio remoto (RDP) de Microsoft , que permite a los ingenieros acceder a las máquinas Windows de forma remota. RDP se ha convertido en un objetivo cada vez más popular para los piratas informáticos que lo utilizan para eludir la seguridad de los puntos finales para penetrar redes y sistemas de defensa.

Después de ingresar a la red, el ransomware elimina los registros de la red para cubrir sus huellas, incluso después de que las vulnerabilidades hayan sido reparadas.

¿Cómo pudo Travelex haber evitado esto?

Dada la naturaleza de Sodinokibi, las respuestas retroactivas rara vez son efectivas. Con una solución robusta de protección cibernética, las empresas están mejor equipadas para detener un ataque de ransomware incluso antes de que comience. En el caso de Travelex, una solución activa de protección cibernética no solo habría detenido al Sodinokibi en su camino con funciones de seguridad basadas en inteligencia artificial, sino que también habría actualizado las copias de seguridad de los datos, las aplicaciones y los sistemas de la compañía.

Sin una protección cibernética efectiva, las empresas dejan expuestos los datos críticos, poniendo en juego su tiempo, dinero y recursos, al tiempo que arriesgan la confianza y la seguridad de sus clientes.

Pensamientos finales

Para disminuir el riesgo de un ataque de ransomware y garantizar que su organización pueda navegar por la mayor complejidad de la seguridad de la red, es fundamental que su empresa adopte las estrategias y soluciones que brindan protección cibernética moderna. Si bien el ataque Travelex puede haber sido el gran titular de seguridad cibernética de esta semana, los ciberdelincuentes están trabajando para desarrollar ataques de ransomware más inteligentes, más discretos y más potentes todos los días.  

Los parches regulares de los sistemas operativos y las aplicaciones, junto con un régimen de respaldo frecuente, pueden ayudar a mitigar algunos ataques, pero para evitar que el ransomware cifre datos y paralice su sistema, se necesita una solución de protección cibernética proactiva con defensas antimalware integradas impulsadas por inteligencia artificial. .

Los modelos de aprendizaje automático que impulsan Acronis Active Protection pueden diferenciar el comportamiento del sistema potencialmente malicioso de los patrones de comportamiento normales, lo que le permite detener la actividad sospechosa en tiempo real, antes de que se produzca un daño.

Este enfoque basado en el comportamiento es tan efectivo que detuvo más de 400,000 ataques de ransomware el año pasado. Es por eso que está incorporado en todas las soluciones de Acronis Cyber ​​Protection, desde nuestros productos personales y comerciales hasta el servicio de respaldo de nuestra plataforma de proveedores de servicios , porque todos merecen una protección cibernética moderna.

Comparte este Artículo!