Fintech Finastra späť online bez platenia výkupného VPNoverview.com

V polovici marca sa londýnska finančná technologická spoločnosť Finastra stala obeťou útoku na ransomware. Útočníci využili dlhodobé slabiny v bezpečnostnej infraštruktúre Finastry. Finastra bola späť online pomerne rýchlo, bez zaplatenia výkupného.


Ako sa to stalo

Finastra je fínska firma so sídlom v Londýne s pobočkami v 42 krajinách po celom svete a viac ako 10 000 zamestnancami. Jej viac ako 9 000 klientov zahŕňa 90 zo 100 najvýznamnejších bánk na svete. Napriek ich veľkosti však Finastra už pred útokom znášala známe riziká týkajúce sa kybernetickej bezpečnosti a ochrany údajov.

Minulý rok spoločnosť Bad Packets, spravodajská spoločnosť zameraná na hrozby, vykonala kontrolu na internete, ktorá vyzdvihla niekoľko slabých miest v spoločnosti Finastra. Podľa Bad Packets Finastra prevádzkovala nepripravené servery po dlhú dobu. Zistili tiež, že spoločnosť Finastra stále prevádzkuje zastarané servery Pulse Secure VPN a Citrix. Na začiatku tohto roka Bad Packets informoval, že spoločnosť Finastra stále prevádzkuje štyri zastarané servery Citrix.

Oba vyššie uvedené servery dokumentujú zraniteľné miesta, ktoré hackeri v minulosti využili. Tieto slabiny v bezpečnostnej infraštruktúre Finastry by mohli byť vinu za nedávny útok spoločnosti Fianstra na ransomware.

Prečo neboli chyby odstránené?

Osoba oboznámená s vyšetrovaniami uskutočnenými vo Finastre po útoku hovorila s Bloomberg Businessweek začiatkom tohto týždňa. Osoba uviedla v publikácii, že bezpečnostný tím spoločnosti Finastra pred časom odporučil opraviť zraniteľné miesta pre správu. Manažment sa však rozhodol nepokračovať v opravovaní zraniteľností, pretože zmeny by spôsobili prerušenie starších aplikácií.

Ako bol útok spáchaný?

Útočníci získali prístup do systémov Finastry zachytením hesiel zamestnancov a inštaláciou zadných vrát na desiatky kritických serverov spoločnosti. Útočníci potom použili existujúce zraniteľné miesta, aby im umožnili pohybovať sa po sieti spoločnosti. Útok bol nezistený tri dni, ale nakoniec neobvyklá aktivita na cloudových serveroch Finastry upozornila bezpečnostný tím na možné problémy..

V ten istý deň spoločnosť Finastra vydala vyhlásenie, ktoré znie: „Chceme informovať našich vážených zákazníkov o tom, že vyšetrujeme potenciálne narušenie bezpečnosti. O 20:00 EST 20. marca 2020 sme boli upozornení na neobvyklú aktivitu v našej sieti, ktorá riskovala integritu našich dátových centier. Z tohto dôvodu a na ochranu našich zákazníkov sme podnikli rýchle a prísne nápravné opatrenia s cieľom zabrániť incidentu a izolovať ho, zatiaľ čo vyšetrujeme ďalej. “

Bezpečnostný tím zistil, že útočníci začali infikovať sieť firmy pomocou ransomware Ryuk. Následne bolo rozhodnuté prepnúť všetky napadnuté servery do režimu offline, aby sa zastavilo jeho šírenie. Tom Kilroy, hlavný prevádzkový dôstojník Finastry, neskôr vydal vyhlásenie, v ktorom uviedol: „Z dôvodu dostatočnej opatrnosti sme okamžite podnikli kroky na odpojenie viacerých serverov v režime offline, kým pokračujeme vo vyšetrovaní. Informovali sme tiež a spolupracujeme s príslušnými orgánmi a sme v priamom kontakte so všetkými zákazníkmi, ktorí môžu byť ovplyvnení prerušením služby. “ Spoločnosť Finastra tiež uviedla, že nenašla „žiadny dôkaz o tom, že údaje o zákazníkoch alebo zamestnancoch boli prístupné alebo exfiltrované, a ani si nemyslíme, že to ovplyvnilo siete našich klientov“.

Finastra neplatí žiadne výkupné

Keďže sa Finastra o útoku dozvedela pomerne rýchlo, bola schopná identifikovať a izolovať potenciálne infikované servery. To obsahovalo útok na obmedzený počet serverov, ktoré boli potom rýchlo prepnuté do režimu offline. Ďalej spoločnosť Finastra dezinfikovala všetky offline servery škodlivého softvéru všade, kde to bolo možné, a obnovila ostatné zo zálohy.

Tieto rýchle akcie umožnili firme priniesť kľúčové služby späť do niekoľkých dní bez zaplatenia výkupného. „Udržali sme si kontrolu nad našou sieťou prostredníctvom opatrení, ktoré sme podnikli pri prepínaní serverov do režimu offline, a naša schopnosť obnoviť prevádzku v relatívne krátkom čase to odzrkadľuje,“ povedal hovorca spoločnosti Bloomberg Businessweek. Iné organizácie, ako napríklad Maastrichtská univerzita, Travelex a mesto New Orleans, sa vrátili online za niekoľko týždňov.

Tým, že Finastra odstavila základné služby namiesto zaplatenia výkupného, ​​absorbovala jeden druh nákladov, aby sa vyhla inému, potenciálne závažnejším nákladom. „Vyplatenie výkupného,“ pokračoval hovorca, „len nabudúce urobíš väčší cieľ.“

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me