Fintech Finastra weer online zonder losgeld te betalen | VPNoverview.com

Het in Londen gevestigde financiële technologiebedrijf Finastra werd medio maart het slachtoffer van een ransomware-aanval. De aanvallers maakten gebruik van de reeds lang bestaande zwakke punten in de beveiligingsinfrastructuur van Finastra. Finastra was relatief snel weer online zonder het losgeld te hebben betaald.


Hoe is het gebeurd

Finastra is een in Londen gevestigd fintech-bedrijf met kantoren in 42 landen wereldwijd en meer dan 10.000 werknemers. Onder de meer dan 9.000 klanten bevinden zich 90 van de 100 beste banken wereldwijd. Ondanks hun omvang droeg Finastra echter al geruime tijd vóór de aanval bekende risico’s op het gebied van cyberbeveiliging en gegevensbescherming.

Vorig jaar voerde Bad Packets, een bedrijf voor bedreigingsinformatie, een internetbrede scan uit, die verschillende kwetsbaarheden bij Finastra belichtte. Volgens Bad Packets draaide Finastra al geruime tijd niet-gepatchte servers. Ze ontdekten ook dat Finastra nog steeds verouderde Pulse Secure VPN- en Citrix-servers draaide. Begin dit jaar meldde Bad Packets dat Finastra nog steeds vier verouderde Citrix-servers had.

Beide bovengenoemde servers hebben gedocumenteerde kwetsbaarheden die in het verleden door hackers zijn benut. Deze tekortkomingen in de beveiligingsinfrastructuur van Finastra hadden mogelijk de schuld kunnen zijn van de recente ransomware-aanval van Fianstra.

Waarom zijn de kwetsbaarheden niet hersteld??

Een persoon die bekend was met de onderzoeken die bij Finastra na de aanval waren uitgevoerd, sprak eerder deze week met Bloomberg Businessweek. De persoon vertelde de publicatie dat het beveiligingsteam van Finastra enige tijd geleden had aanbevolen de kwetsbaarheden voor het beheer op te lossen. Het management besloot echter niet door te gaan met het herstellen van de kwetsbaarheden, omdat de wijzigingen de oudere applicaties zouden verstoren.

Hoe is de aanval gepleegd?

Aanvallers kregen toegang tot de systemen van Finastra door wachtwoorden van werknemers vast te leggen en achterdeuren te installeren op tientallen kritieke servers van het bedrijf. Aanvallers gebruikten vervolgens bestaande kwetsbaarheden om zich door het bedrijfsnetwerk te verplaatsen. De aanval bleef drie dagen onopgemerkt, maar uiteindelijk waarschuwde ongebruikelijke activiteit op Finastra’s cloudservers het beveiligingsteam voor mogelijke problemen.

Op dezelfde dag bracht Finastra een verklaring uit met de tekst: “We willen onze gewaardeerde klanten informeren dat we een mogelijke inbreuk op de beveiliging onderzoeken. Om 20:00 uur EST op 20 maart 2020 werden we gewaarschuwd voor abnormale activiteiten op ons netwerk die de integriteit van onze datacenters in gevaar brachten. Als zodanig, en om onze klanten te beschermen, hebben we snelle en strikte corrigerende maatregelen genomen om het incident te beperken en te isoleren, terwijl we verder onderzoeken. ”

Het beveiligingsteam ontdekte dat aanvallers het netwerk van het bedrijf begonnen te infecteren met de Ryuk-ransomware. Daarom werd besloten om alle geïnfecteerde servers offline te halen om de verspreiding ervan te stoppen. Tom Kilroy, de Chief Operating Officer van Finastra, legde later een verklaring af waarin stond: “Uit een overdaad aan voorzichtigheid hebben we onmiddellijk actie ondernomen om een ​​aantal van onze servers offline te halen terwijl we doorgaan met onderzoeken. We hebben ook geïnformeerd en werken samen met de relevante autoriteiten en we hebben rechtstreeks contact met klanten die mogelijk worden getroffen als gevolg van een verstoorde service. ” Finastra verklaarde ook dat ze geen “bewijs hadden gevonden dat klant- of werknemersgegevens werden geopend of gefilterd, en we denken ook niet dat de netwerken van onze klanten werden beïnvloed.”

Finastra betaalt geen losgeld

Sinds Finastra relatief snel op de hoogte was van de aanval, kon het potentieel geïnfecteerde servers identificeren en isoleren. Deze bevatte de aanval op een beperkt aantal servers, die vervolgens snel offline werden gehaald. Vervolgens heeft Finastra alle offline servers van malware waar mogelijk gedesinfecteerd en de andere opnieuw opgebouwd met back-ups.

Dankzij deze snelle acties kon het bedrijf de belangrijkste services binnen enkele dagen weer online brengen zonder het losgeld te betalen. “We behielden de controle over ons netwerk door de actie die we hebben ondernomen om onze servers offline te halen, en ons vermogen om de activiteiten in relatief korte tijd te hervatten, weerspiegelt dat”, zei een woordvoerder van het bedrijf tegen Bloomberg Businessweek. Andere organisaties, zoals de Universiteit Maastricht, Travelex en de stad New Orleans, hebben weken nodig gehad om weer online te komen.

Door essentiële diensten af ​​te sluiten in plaats van het losgeld te betalen, heeft Finastra de ene soort kosten geabsorbeerd om een ​​andere, mogelijk hogere prijs te vermijden. ‘Het losgeld betalen’, vervolgde de woordvoerder, ‘maakt je gewoon een groter doelwit voor de volgende keer.’

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me