Fintech Finastra de retour en ligne sans payer de rançon | VPNoverview.com

Finastra, la société de technologie financière basée à Londres, a été victime d’une attaque de ransomware à la mi-mars. Les attaquants ont profité des faiblesses de longue date de l’infrastructure de sécurité de Finastra. Finastra était de retour en ligne assez rapidement sans avoir payé la rançon.


Comment est-ce arrivé

Finastra est une fintech basée à Londres avec des bureaux dans 42 pays à travers le monde et plus de 10 000 employés. Ses plus de 9 000 clients comprennent 90 des 100 premières banques mondiales. Cependant, malgré leur taille, Finastra comportait des risques connus de cybersécurité et de protection des données depuis un certain temps avant l’attaque.

L’année dernière, Bad Packets, une société de renseignement sur les menaces, a effectué une analyse à l’échelle d’Internet, qui met en évidence plusieurs vulnérabilités chez Finastra. Selon Bad Packets, Finastra utilisait des serveurs non corrigés depuis une période de temps considérable. Ils ont également constaté que Finastra exécutait toujours des serveurs Pulse Secure VPN et Citrix obsolètes. Au début de cette année, Bad Packets a signalé que Finastra exécutait toujours quatre serveurs Citrix obsolètes.

Les deux serveurs mentionnés ci-dessus ont documenté des vulnérabilités qui ont été exploitées par des pirates dans le passé. Ces faiblesses dans l’infrastructure de sécurité de Finastra auraient pu être à l’origine de la récente attaque de ransomware de Fianstra.

Pourquoi les vulnérabilités n’ont-elles pas été réparées?

Une personne familière avec les enquêtes entreprises à Finastra après l’attaque s’est entretenue avec Bloomberg Businessweek au début de la semaine. La personne a déclaré à la publication que l’équipe de sécurité de Finastra avait recommandé il y a quelque temps de corriger les vulnérabilités de la gestion. Cependant, la direction a décidé de ne pas aller de l’avant avec la réparation des vulnérabilités, craignant que les changements ne provoquent des perturbations dans les anciennes applications..

Comment l’attaque a-t-elle été perpétrée?

Les attaquants ont pu accéder aux systèmes de Finastra en capturant les mots de passe des employés et en installant des portes dérobées dans des dizaines de serveurs critiques de l’entreprise. Les attaquants ont ensuite utilisé des vulnérabilités préexistantes pour leur permettre de se déplacer sur le réseau de l’entreprise. L’attaque n’a pas été détectée pendant trois jours, mais finalement une activité inhabituelle sur les serveurs cloud de Finastra a alerté l’équipe de sécurité de problèmes possibles.

Le même jour, Finastra a publié une déclaration qui se lisait comme suit: «Nous souhaitons informer nos précieux clients que nous enquêtons sur une violation potentielle de la sécurité. À 3 h 00 HNE le 20 mars 2020, nous avons été alertés d’une activité anormale sur notre réseau qui menaçait l’intégrité de nos centres de données. En tant que tel, et pour protéger nos clients, nous avons pris des mesures correctives rapides et strictes pour contenir et isoler l’incident, pendant que nous enquêtons davantage. »

L’équipe de sécurité a découvert que les attaquants avaient commencé à infecter le réseau de l’entreprise avec le ransomware Ryuk. Par conséquent, il a été décidé de mettre tous les serveurs infectés hors ligne pour arrêter sa propagation. Tom Kilroy, directeur des opérations de Finastra, a par la suite publié une déclaration dans laquelle il déclarait: «Par prudence, nous avons immédiatement pris des mesures pour mettre un certain nombre de nos serveurs hors ligne pendant que nous poursuivions nos investigations. Nous avons également informé et coopérons avec les autorités compétentes et nous sommes en contact direct avec tous les clients susceptibles d’être affectés par une interruption de service. » Finastra a également déclaré qu’elle n’avait trouvé «aucune preuve que les données des clients ou des employés avaient été consultées ou exfiltrées, et nous ne pensons pas non plus que les réseaux de nos clients aient été affectés».

Finastra ne paie aucune rançon

Depuis que Finastra a pris connaissance de l’attaque assez rapidement, il a pu identifier et isoler les serveurs potentiellement infectés. Cela contenait l’attaque d’un nombre limité de serveurs, qui ont ensuite été rapidement mis hors ligne. Ensuite, Finastra a désinfecté tous les serveurs hors ligne de logiciels malveillants dans la mesure du possible et reconstruit les autres à partir de sauvegardes..

Ces actions rapides ont permis à la firme de remettre en ligne des services clés en quelques jours sans payer la rançon. «Nous avons gardé le contrôle de notre réseau grâce aux mesures que nous avons prises pour mettre nos serveurs hors ligne, et notre capacité à reprendre les opérations dans un délai relativement court en témoigne», a déclaré un porte-parole de la société à Bloomberg Businessweek. D’autres organisations, telles que l’Université de Maastricht, Travelex et la ville de la Nouvelle-Orléans, ont mis des semaines à revenir en ligne.

En fermant les services essentiels au lieu de payer la rançon, Finastra a absorbé un type de coût pour éviter un autre, potentiellement plus sévère. “Payer la rançon”, a poursuivi le porte-parole, “fait de vous une cible plus importante pour la prochaine fois”.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me