Fintech Finastra tillbaka online utan att betala lösen | VPNoverview.com

Det Londonbaserade finansiella teknikföretaget Finastra blev offer för en ransomware-attack i mitten av mars. Angriparna utnyttjade långvariga svagheter i Finastras säkerhetsinfrastruktur. Finastra var relativt snabbt tillbaka online utan att ha betalat lösen.


Hur hände det

Finastra är ett London-baserat fintechföretag med kontor i 42 länder världen över och över 10 000 anställda. Dess över 9 000 kunder inkluderar 90 av de 100 bankerna över hela världen. Trots sin storlek hade Finastra dock känt risker för cybersäkerhet och dataskydd under en tid innan attacken.

Förra året genomförde Bad Packets, ett hotintelligensföretag, en skanning över hela internet, som belyser flera sårbarheter på Finastra. Enligt Bad Packets hade Finastra kört oöverträffade servrar under en betydande tidsperiod. De fann också att Finastra fortfarande körde föråldrade Pulse Secure VPN och Citrix-servrar. I början av detta år rapporterade Bad Packets att Finastra fortfarande körde fyra föråldrade Citrix-servrar.

Båda ovannämnda servrar har dokumenterade sårbarheter som har utnyttjats av hackare tidigare. Dessa svagheter i Finastras säkerhetsinfrastruktur kan ha varit skylden för Fianstras senaste ransomware-attack.

Varför har inte sårbarheterna reparerats?

En person som är bekant med utredningarna som gjordes vid Finastra efter attacken talade med Bloomberg Businessweek tidigare i veckan. Personen berättade för publikationen att Finastras säkerhetsteam hade rekommenderat att fixa sårbarheterna för ledningen för en tid sedan. Ledningen beslutade emellertid att inte gå vidare med att reparera sårbarheterna bland oro förändringarna skulle orsaka störningar i äldre applikationer.

Hur gjordes attacken?

Angriparna fick tillgång till Finastras system genom att fånga in lösenord för anställda och installera bakdörrar i dussintals av företagets kritiska servrar. Angripare använde sedan befintliga sårbarheter för att låta dem flytta runt företagets nätverk. Attacken gick oupptäckt i tre dagar men så småningom uppenbarade ovanlig aktivitet på Finastras molnservrar säkerhetsteamet för möjliga problem.

Samma dag lade Finastra ut ett uttalande som lyder: ”Vi vill informera våra värderade kunder om att vi undersöker ett potentiellt säkerhetsbrott. Klockan 15.00 EST den 20 mars 2020 var vi underrättade om anomal aktivitet i vårt nätverk som riskerade integriteten hos våra datacentra. Som sådan och för att skydda våra kunder har vi vidtagit snabba och strikta åtgärder för att innehålla och isolera händelsen, medan vi undersöker ytterligare. ”

Säkerhetsteamet upptäckte att angripare hade börjat infektera företagets nätverk med Ryuk ransomware. Följaktligen beslutades att ta alla infekterade servrar offline för att stoppa spridningen. Tom Kilroy, Finastras chef för operatören, lade senare ut ett uttalande som säger: ”Av en mängd försiktighet agerade vi omedelbart för att ta ett antal av våra servrar offline medan vi fortsätter att undersöka. Vi har också informerat och samarbetar med berörda myndigheter och vi har direkt kontakt med alla kunder som kan påverkas till följd av störd service. ” Finastra uttalade också att de inte hade hittat ”några bevis för att kund- eller anställdedata har åtkomst eller exfiltrerats, och vi tror inte heller att våra klienters nätverk påverkades.”

Finastra betalar ingen lösning

Sedan Finastra blev medveten om attacken relativt snabbt kunde den identifiera och isolera potentiellt infekterade servrar. Detta innehöll attacken mot ett begränsat antal servrar, som sedan snabbt togs offline. Därefter desinficerade Finastra alla offline-servrar av skadlig programvara där det var möjligt och byggde om de andra från säkerhetskopior.

Dessa snabba åtgärder gjorde det möjligt för företaget att ta tillbaka nyckeltjänster online inom några dagar utan att betala lösen. “Vi behöll kontrollen över vårt nätverk genom de åtgärder som vi vidtog för att ta våra servrar offline och vår förmåga att återuppta verksamheten på relativt kort tid återspeglar det,” berättade en talesman för Bloomberg Businessweek. Andra organisationer, som Maastricht University, Travelex och City of New Orleans, har tagit veckor att komma tillbaka online.

Genom att stänga av viktiga tjänster istället för att betala lösen, tog Finastra upp en typ av kostnader för att undvika en annan, eventuellt allvarligare kostnad. “Betala lösen”, fortsatte talesman att säga, “gör dig bara till ett större mål för nästa gång.”

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me