Fintech Finastra takaisin verkkoon maksamatta Ransom | VPNoverview.com

Lontoossa sijaitsevaan finanssitekniikkayritykseen Finastraan tuli maaliskuun puolivälissä ransomware-hyökkäys. Hyökkääjät käyttivät hyväkseen Finastran turvallisuusinfrastruktuurin pitkäaikaisia ​​heikkouksia. Finastra palasi verkkoon suhteellisen nopeasti maksamatta lunnaata.


Miten se tapahtui

Finastra on Lontoossa sijaitseva fintech-yritys, jolla on toimistoja 42 maassa ympäri maailmaa ja yli 10 000 työntekijää. Sen yli 9000 asiakkaaseen kuuluu 90 maailman 100 parhaasta pankista. Kokostaan ​​huolimatta Finastralla oli kuitenkin jonkin aikaa ennen hyökkäystä ollut tunnettuja tietoturva- ja tietosuojariskejä.

Viime vuonna Bad Packets, uhkatiedusteluyritys, teki Internet-laajuisen tarkistuksen, joka tuo esiin useita Finastran haavoittuvuuksia. Huonojen pakettien mukaan Finastra oli käyttänyt avoimia palvelimia huomattavan pitkän ajan. He havaitsivat myös, että Finastralla oli edelleen vanhentuneita Pulse Secure VPN- ja Citrix-palvelimia. Tämän vuoden alussa Bad Packets kertoi Finastralle edelleen käyttävän neljää vanhentunutta Citrix-palvelinta.

Molemmilla yllä mainituilla palvelimilla on dokumentoitu haavoittuvuuksia, joita hakkerit ovat aiemmin hyödyntäneet. Nämä Finastran turvallisuusinfrastruktuurin heikkoudet olisivat voineet olla syyllisiä Fianstraan äskettäiseen ransomware-hyökkäykseen.

Miksi heikkouksia ei korjattu?

Finastrassa hyökkäyksen jälkeen suoritetuista tutkimuksista perehtynyt henkilö puhui Bloomberg Businessweekille aiemmin viikolla. Henkilö kertoi julkaisulle, että Finastran turvallisuusryhmä oli jo jonkin aikaa suositellut korjaamaan johdon haavoittuvuudet. Johto päätti kuitenkin olla jatkamatta haavoittuvuuksien korjaamista keskellä huolta, että muutokset aiheuttaisivat häiriöitä vanhemmissa sovelluksissa.

Kuinka hyökkäys toteutettiin??

Hyökkääjät saivat pääsyn Finastran järjestelmiin vangitsemalla työntekijöiden salasanat ja asentamalla takaovet kymmeniin yrityksen kriittisiin palvelimiin. Hyökkääjät käyttivät sitten olemassa olevia haavoittuvuuksia, jotta he voisivat liikkua yrityksen verkossa. Hyökkäystä ei havaittu kolme päivää, mutta lopulta Finastran pilvipalvelimilla epätavallinen toiminta varoitti turvallisuusryhmää mahdollisista ongelmista.

Finastra antoi samana päivänä lausunnon, jonka teksti oli seuraava: ”Haluamme kertoa arvostetuille asiakkaillemme tutkimasta mahdollisia tietoturvaloukkauksia. Klo 15.00 EST 20. maaliskuuta 2020, meitä hälytettiin epänormaalista toiminnasta verkossamme, joka vaaransi tietokeskuksiemme eheyden. Sellaisenaan ja asiakkaidemme suojelemiseksi olemme ryhtyneet nopeaan ja tiukkaan korjaustoimenpiteeseen tapauksen hillitsemiseksi ja eristämiseksi tutkittaessa tarkemmin. ”

Turvajoukot havaitsivat, että hyökkääjät olivat alkaneet tartuttaa yrityksen verkkoa Ryuk-lunastusohjelmalla. Tämän seurauksena päätettiin viedä kaikki tartunnan saaneet palvelimet offline-tilaan estääkseen leviämisen. Finastran operatiivinen johtaja Tom Kilroy julkaisi myöhemmin lausunnon, jossa sanottiin: ”Varovaisuuden vuoksi toimimme heti ottaaksemme joukon palvelimia offline-tilaan, kun jatkamme tutkimusta. Olemme myös ilmoittaneet asiasta ja toimimme yhteistyössä asiaankuuluvien viranomaisten kanssa ja olemme suoraan yhteydessä joihinkin asiakkaisiin, joihin palvelun häiriöiden seuraukset saattavat vaikuttaa. ” Finastra totesi myös, että he eivät olleet löytäneet mitään todisteita siitä, että asiakkaan tai työntekijän tietoja saatiin tai suodatettiin, emmekä usko asiakkaidemme verkkoihin. “

Finastra ei maksa Ransomia

Koska Finastra sai tietoonsa hyökkäyksen suhteellisen nopeasti, se pystyi tunnistamaan ja eristämään potentiaalisesti tartunnan saaneet palvelimet. Tämä sisälsi hyökkäyksen rajoitetulle määrälle palvelimia, jotka sitten siirrettiin nopeasti offline-tilaan. Seuraavaksi Finastra desinfioi kaikki haittaohjelmien offline-palvelimet mahdollisuuksien mukaan ja rakensi muut uudelleen varmuuskopioista.

Nämä nopeat toimet antoivat yritykselle mahdollisuuden tuoda tärkeimmät palvelut takaisin verkkoon muutamassa päivässä maksamatta lunnaata. “Me säilytimme verkon hallintamme toimilla, jotka toteutimme ottamalla palvelimemme offline-tilaan, ja kykymme jatkaa toimintaa suhteellisen lyhyessä ajassa heijastaa sitä”, yrityksen tiedottaja kertoi Bloomberg Businessweekille. Muut organisaatiot, kuten Maastrichtin yliopisto, Travelex ja New Orleansin kaupunki, ovat viettäneet viikkoja palatakseen verkkoon.

Lopettamalla välttämättömät palvelut lunastuksen maksamisen sijasta, Finastra kattoi yhden tyyppiset kustannukset välttääkseen toiset, mahdollisesti vakavammat kustannukset. “Lunastuksen maksaminen”, tiedottaja jatkoi, “tekee sinusta vain suuremman tavoitteen seuraavalle kerralle.”

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me