Le ransomware Sodinokibi lié aux déboires de Travelex

Le ransomware Sodinokibi est apparemment derrière l’attaque de la veille du Nouvel An qui a ciblé la société de change Travelex.

Selon les rapports, les cybercriminels responsables de l’attaque ont demandé une somme à 6 chiffres pour la clé de déchiffrement et ont dirigé la compagnie vers un site de paiement hébergé dans le Colorado aux Etats-Unis.

“Ce n’est que du business. Nous n’en avons rien à faire de vous ou de vos détails, seulement vos gains. Si nous ne faisons pas notre travail – personne ne décidera de ne pas coopérer. C’est dans notre intérêt,” peut-on lire dans le fichier readme du ransomware Sodinokibi obtenu par Computer Weekly. “Si vous ne coopérez pas avec nos services – pour nous ce n’est pas important. Mais vous allez perdre votre temps et vos données, parce que nous sommes les seuls à avoir la clé privée. En pratique, le temps a plus de valeur que l’argent.”

Sodinokibi, aussi connu sous le nom de REvil, est apparu pour la première fois en Avril 2019. Il est derrière plusieurs attaques ciblées. Les chercheurs de Secureworks Counter Threat Unit (CTU) pensent que le groupe derrière le ransomware GandCrab, qui est sensé avoir pris sa retraite, est aussi responsable de Sodinokibi car certains aspects de ces 2 ransomwares sont quasiment identiques.

Travelex est présent dans 70 pays différents. C’est une société de change britannique fondée par Lloyd Dorfman et dont le siège social se situe à Londres. Son activité principale est l’offre de produits et services de change, via son réseau de bureaux de change. 

L’attaque a mis hors ligne les sites de Travelex dans au moins 20 pays différents et a forcé la compagnie a accomplir ses taches manuellement.

Nous ne savons pas si la compagnie prévoit de payer la rançon et ils n’ont pas vraiment donné d’informations. La compagnie a affirmé avoir été la cible d’une attaque mais la plupart de ses sites montrent simplement un écran d’alerte disant qu’ils sont hors lignes pour de la maintenance.

travelex sodinokibi

Sodinokibi aurait ciblé des serveurs Pulse Secure

L’attaque a probablement été un succès car Travelex a pris plusieurs mois pour patcher les vulnérabilités critiques dans ses serveurs VPN Pulse Secure, selon Bad Packets.

Pulse Secure offre une famille de produits d’accès à distance pour les entreprises. La compagnie a déployé un patch urgent pour 2 failles critiques dans le produit Zero Trust VPN en Avril. CVE-2019-11510 est une vulnérabilité de lecture de fichier arbitraire. Cette faille permet à des individus non–authentifiés d’accéder aux clés privées et aux mots de passe des utilisateurs. Exploiter ces informations de connexion peut mener à une injection de commande à distance (CVE-2019-11539) et permet aux hackers d’obtenir un accès à l’intérieur des réseaux VPN.

“Cette vulnérabilité est très mauvaise – elle permet de se connecter à distance à un réseau d’entreprise sans nom d’utilisateur ou mot de passe, désactiver l’authentification à plusieurs facteurs, voir les registres et les mots de passe stockés en texte clair (y compris les mots de passe des comptes Active Directory),” a expliqué le chercheur Kevin Beaumont.

Il a déclaré en Aout qu’il avait remarqué que des exploits publics étaient disponibles et que les cybercriminels scannaient activement internet pour trouver cette faille (en utilisant des outils publics comme le moteur de recherche Shodan). Un rapport de Bad Packets indiquait que des cyberattaques majeurs pouvaient être imminentes.

“Le 25 Août 2019, Bad Packets a scanné l’internet et a trouvé près de 15 000 points de terminaison dans le monde qui étaient vulnérables,” a précisé Beaumont. “Ces résultats incluaient des réseaux de gouvernements, plusieurs organisation sensibles et une liste des plus larges compagnies dans le monde. Il était évident que les compagnies n’appliquaient pas les patchs.”

L’une de ces organisations était Travelex qui avait 7 serveurs Pulse Secure vulnérables. Selon Bad Packets, la compagnie a attendu le mois de Novembre (8 mois après la divulgation de la vulnérabilité) pour appliquer les patchs.

Bad Packets a indiqué que ce temps de retard pour appliquer les patchs a pu fournir une fenêtre d’action aux cybercriminels pour infiltrer le réseau de Travelex. Cette hypothèse est supportée par Pulse Secure, ces derniers ont publié un communiqué cette semaine disant qu’ils ont remarqué que le ransomware Sodinokibi était déployé en utilisant des exploits pour ces vulnérabilités.

Poster un Commentaire

avatar
  S’abonner  
Notifier de