Fintech Finastra vuelve a estar en línea sin pagar rescate | VPNoverview.com

La firma de tecnología financiera con sede en Londres Finastra se convirtió en víctima de un ataque de ransomware a mediados de marzo. Los atacantes aprovecharon las debilidades de larga data en la infraestructura de seguridad de Finastra. Finastra volvió a estar en línea relativamente rápido sin haber pagado el rescate.


Como paso

Finastra es una firma fintech con sede en Londres, con oficinas en 42 países en todo el mundo y más de 10,000 empleados. Sus más de 9,000 clientes incluyen 90 de los 100 principales bancos a nivel mundial. Sin embargo, a pesar de su tamaño, Finastra había tenido riesgos conocidos de ciberseguridad y protección de datos durante algún tiempo antes del ataque..

El año pasado, Bad Packets, una empresa de inteligencia de amenazas, realizó un análisis en Internet, que resalta varias vulnerabilidades en Finastra. Según Bad Packets, Finastra había estado ejecutando servidores sin parches durante un período considerable de tiempo. También descubrieron que Finastra todavía estaba ejecutando servidores obsoletos Pulse Secure VPN y Citrix. A principios de este año, Bad Packets informó que Finastra todavía estaba ejecutando cuatro servidores Citrix obsoletos.

Ambos servidores mencionados tienen vulnerabilidades documentadas que los hackers han aprovechado en el pasado. Estas debilidades en la infraestructura de seguridad de Finastra podrían haber tenido la culpa del reciente ataque de ransomware de Fianstra.

¿Por qué no se repararon las vulnerabilidades??

Una persona familiarizada con las investigaciones realizadas en Finastra después del ataque habló con Bloomberg Businessweek a principios de semana. La persona dijo a la publicación que el equipo de seguridad de Finastra había recomendado arreglar las vulnerabilidades a la administración hace algún tiempo. Sin embargo, la gerencia decidió no continuar reparando las vulnerabilidades en medio de preocupaciones de que los cambios causarían interrupciones en las aplicaciones más antiguas..

¿Cómo se perpetró el ataque??

Los atacantes obtuvieron acceso a los sistemas de Finastra capturando las contraseñas de los empleados e instalando puertas traseras en docenas de servidores críticos de la empresa. Los atacantes luego utilizaron vulnerabilidades preexistentes para permitirles moverse por la red de la empresa. El ataque no se detectó durante tres días, pero finalmente la actividad inusual en los servidores en la nube de Finastra alertó al equipo de seguridad de posibles problemas.

El mismo día, Finastra emitió una declaración que decía: “Deseamos informar a nuestros valiosos clientes que estamos investigando una posible violación de seguridad. A las 3:00 a.m.EST del 20 de marzo de 2020, fuimos alertados de una actividad anómala en nuestra red que arriesgaba la integridad de nuestros centros de datos. Como tal, y para proteger a nuestros clientes, hemos tomado medidas correctivas rápidas y estrictas para contener y aislar el incidente, mientras investigamos más a fondo “.

El equipo de seguridad descubrió que los atacantes habían comenzado a infectar la red de la empresa con el ransomware Ryuk. En consecuencia, se decidió desconectar todos los servidores infectados para detener su propagación. Tom Kilroy, director de operaciones de Finastra, luego emitió una declaración que decía: “Por precaución, actuamos de inmediato para desconectar algunos de nuestros servidores mientras continuamos investigando. También hemos informado y estamos cooperando con las autoridades pertinentes y estamos en contacto directo con cualquier cliente que pueda verse afectado como resultado de la interrupción del servicio “. Finastra también declaró que no habían encontrado “ninguna evidencia de que los datos de clientes o empleados hayan sido accedidos o extraídos, ni creemos que las redes de nuestros clientes se hayan visto afectadas”.

Finastra no paga rescate

Como Finastra se dio cuenta del ataque con relativa rapidez, pudo identificar y aislar servidores potencialmente infectados. Esto contenía el ataque a un número limitado de servidores, que luego se desconectaron rápidamente. A continuación, Finastra desinfectó todos los servidores fuera de línea de malware siempre que fue posible y reconstruyó los demás a partir de copias de seguridad..

Estas acciones rápidas permitieron a la empresa volver a poner en línea los servicios clave en cuestión de días sin pagar el rescate. “Conservamos el control de nuestra red a través de la acción que tomamos para desconectar nuestros servidores, y nuestra capacidad para reanudar las operaciones en un espacio de tiempo relativamente corto lo refleja”, dijo un portavoz de la compañía a Bloomberg Businessweek. Otras organizaciones, como la Universidad de Maastricht, Travelex y la ciudad de Nueva Orleans, han tardado semanas en volver a estar en línea..

Al cerrar los servicios esenciales en lugar de pagar el rescate, Finastra absorbió un tipo de costo para evitar otro costo potencialmente más severo. “Pagar el rescate”, continuó el portavoz, “simplemente te convierte en un objetivo más grande para la próxima vez”.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me