Fintech Finastra Tornar en línia sense pagar Ransom | VPNoverview.com

La firma financera de tecnologia financera de Londres va ser víctima d’un atac de ransomware a mitjans de març. Els atacants van aprofitar febles de la infraestructura de seguretat de Finastra. Finastra tornava a estar en línia relativament ràpidament sense haver pagat el rescat.


Com ha passat

Finastra és una firma fintech de Londres, amb oficines a 42 països del món i més de 10.000 empleats. Els seus més de 9.000 clients inclouen 90 dels 100 primers bancs a nivell mundial. Tot i això, malgrat la seva mida, Finastra portava un temps conegut els riscos de ciberseguretat i protecció de dades abans de l’atac.

L’any passat, Bad Packets, una empresa d’intel·ligència d’amenaça, va realitzar una exploració a tot l’Internet, que posa de manifest diverses vulnerabilitats a Finastra. Segons Bad Packets, Finastra ha estat executant servidors no envasats durant un període de temps considerable. També van descobrir que Finastra continuava executant servidors de Pulse Secure VPN i Citrix obsolets. A principis d’aquest any, Bad Packets va informar que Finastra continuava executant quatre servidors Citrix obsolets.

Els servidors esmentats anteriorment han documentat vulnerabilitats que els hackers han aprofitat en el passat. Aquests punts febles de la infraestructura de seguretat de Finastra podrien ser culpables del recent atac de ransomware de Fianstra..

Per què no es van reparar les vulnerabilitats?

Una persona coneguda amb les investigacions realitzades a Finastra després de l’atac va parlar amb Bloomberg Businessweek a la setmana anterior. La persona va dir a la publicació que l’equip de seguretat de Finastra havia recomanat solucionar les vulnerabilitats a la gestió fa temps. No obstant això, la direcció va decidir no avançar en la reparació de les vulnerabilitats, ja que es preocupava que els canvis causessin trastorns en aplicacions més antigues.

Com es va perpetrar l’atac?

Els atacants van accedir als sistemes de Finastra capturant contrasenyes dels empleats i instal·lant a la part posterior en desenes de servidors crítics de la firma. Els atacants van utilitzar les vulnerabilitats preexistents per permetre’ls moure’s per la xarxa de l’empresa. L’atac es va deixar sense detectar durant tres dies, però finalment l’activitat inusual als servidors núvols de Finastra va alertar l’equip de seguretat sobre possibles problemes.

El mateix dia, Finastra va publicar un comunicat que deia: “Volem informar als nostres clients valorats que investiguem un possible incompliment de seguretat. A les 3:00 a.m. EST del 20 de març de 2020, se’ns va alertar d’una activitat anòmala a la nostra xarxa que va posar en risc la integritat dels nostres centres de dades. Com a tal, i per protegir els nostres clients, hem pres mesures ràpides i estrictes per a contenir i aïllar l’incident, mentre investigem més endavant. “

L’equip de seguretat va descobrir que els atacants havien començat a infectar la xarxa de l’empresa amb el ransomware Ryuk. Per tant, es va decidir deixar fora de línia tots els servidors infectats. Tom Kilroy, el màxim responsable de l’explotació de Finastra, va exposar més endavant una declaració que deia: “Amb molta precaució, vam actuar immediatament per desconnectar diversos servidors mentre continuem investigant. També hem informat i estem cooperant amb les autoritats pertinents i estem en contacte directament amb qualsevol client que pugui resultar afectat com a resultat del servei interromput. ” Finastra també va declarar que no havien trobat “cap evidència que les dades del client o dels empleats fossin accedides o exfiltrades, ni creiem que les xarxes dels nostres clients tinguessin un impacte”.

Finastra no paga res

Des que Finastra va conèixer l’atac relativament ràpidament, va poder identificar i aïllar servidors potencialment infectats. Això contenia l’atac a un nombre limitat de servidors, que després es van treure fora de línia. A continuació, Finastra va desinfectar tots els servidors de malware fora de línia sempre que sigui possible i va reconstruir els altres de còpies de seguretat.

Aquestes accions ràpides van permetre a l’empresa tornar els serveis clau en línia en pocs dies sense pagar la rescat. “Hem mantingut el control de la nostra xarxa mitjançant les accions que vam emprendre per prendre fora de línia els nostres servidors i la nostra capacitat de reprendre les operacions en un espai relativament curt de temps ho reflecteix”, va dir un portaveu de la companyia a Bloomberg Businessweek. Altres organitzacions, com la Universitat de Maastricht, Travelex i la Ciutat de Nova Orleans, han trigat setmanes a tornar en línia.

En acabar els serveis essencials en lloc de pagar el rescat, Finastra va absorbir un tipus de cost per evitar un altre cost potencialment més sever. “Pagar el rescat”, va dir el portaveu, “només et converteix en un objectiu més gran per a la propera vegada”.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me