Fintech Finastra Επιστροφή στο Διαδίκτυο χωρίς να πληρώσετε το Ransom | VPNoverview.com

Η εταιρεία χρηματοοικονομικών τεχνολογιών Finastra με έδρα το Λονδίνο έγινε το θύμα μιας επίθεσης ransomware στα μέσα Μαρτίου. Οι επιτιθέμενοι εκμεταλλεύτηκαν μακροχρόνιες αδυναμίες στην υποδομή ασφαλείας της Finastra. Η Finastra επέστρεψε στο διαδίκτυο σχετικά γρήγορα χωρίς να πληρώσει τα λύτρα.


Πώς συνέβη

Η Finastra είναι μια εταιρεία fintech με έδρα το Λονδίνο με γραφεία σε 42 χώρες παγκοσμίως και πάνω από 10.000 υπαλλήλους. Οι περισσότεροι από 9.000 πελάτες του περιλαμβάνουν 90 από τις 100 κορυφαίες τράπεζες παγκοσμίως. Ωστόσο, παρά το μέγεθός τους, η Finastra διέθετε γνωστούς κινδύνους για την ασφάλεια στον κυβερνοχώρο και την προστασία δεδομένων πριν από την επίθεση.

Πέρυσι, η Bad Packets, μια εταιρεία πληροφοριών για την απειλή, πραγματοποίησε σάρωση σε ολόκληρο το Διαδίκτυο, η οποία επισημαίνει πολλές ευπάθειες στη Finastra. Σύμφωνα με την Bad Packets, η Finastra εκτελούσε διακομιστές χωρίς αντιστοιχία για σημαντικό χρονικό διάστημα. Διαπίστωσαν επίσης ότι η Finastra εξακολουθούσε να χρησιμοποιεί παλιούς διακομιστές Pulse Secure VPN και Citrix. Στις αρχές του τρέχοντος έτους, η Bad Packets ανέφερε ότι η Finastra εξακολουθούσε να χρησιμοποιεί τέσσερις ξεπερασμένους διακομιστές Citrix.

Και οι δύο προαναφερθέντες διακομιστές έχουν τεκμηριώσει ευπάθειες που έχουν αξιοποιηθεί από τους χάκερ στο παρελθόν. Αυτές οι αδυναμίες στην υποδομή ασφάλειας της Finastra θα μπορούσαν ενδεχομένως να ευθύνονται για την πρόσφατη επίθεση ransomware της Fianstra.

Γιατί δεν επιδιορθώθηκαν τα τρωτά σημεία?

Ένα άτομο εξοικειωμένο με τις έρευνες που πραγματοποιήθηκαν στη Finastra μετά την επίθεση μίλησε στο Bloomberg Businessweek νωρίτερα την εβδομάδα. Το άτομο είπε στη δημοσίευση ότι η ομάδα ασφαλείας της Finastra είχε προτείνει να διορθωθούν οι ευπάθειες στη διαχείριση πριν από λίγο καιρό. Ωστόσο, η διοίκηση αποφάσισε να μην προχωρήσει στην επιδιόρθωση των τρωτών σημείων εν μέσω ανησυχιών ότι οι αλλαγές θα προκαλούσαν διακοπές σε παλαιότερες εφαρμογές.

Πώς έγινε η επίθεση?

Οι επιτιθέμενοι απέκτησαν πρόσβαση στα συστήματα της Finastra συλλαμβάνοντας κωδικούς πρόσβασης υπαλλήλων και εγκαθιστώντας πίσω σε δεκάδες κρίσιμους διακομιστές της εταιρείας. Οι επιτιθέμενοι στη συνέχεια χρησιμοποίησαν προϋπάρχουσες ευπάθειες για να τους επιτρέψουν να μετακινηθούν στο δίκτυο της εταιρείας. Η επίθεση δεν εντοπίστηκε για τρεις ημέρες, αλλά τελικά ασυνήθιστη δραστηριότητα στους διακομιστές cloud της Finastra προειδοποίησε την ομάδα ασφαλείας για πιθανά προβλήματα.

Την ίδια ημέρα η Finastra δημοσίευσε μια δήλωση που έγραφε: «Θέλουμε να ενημερώσουμε τους πολύτιμους πελάτες μας ότι διερευνούμε μια πιθανή παραβίαση της ασφάλειας. Στις 3:00 π.μ. EST στις 20 Μαρτίου 2020, ειδοποιήσαμε για ανώμαλη δραστηριότητα στο δίκτυό μας, η οποία διακινδύνευε την ακεραιότητα των κέντρων δεδομένων μας. Ως εκ τούτου, και για την προστασία των πελατών μας, έχουμε λάβει γρήγορα και αυστηρά διορθωτικά μέτρα για τον περιορισμό και την απομόνωση του συμβάντος, ενώ ερευνούμε περαιτέρω. “

Η ομάδα ασφαλείας ανακάλυψε ότι οι εισβολείς είχαν αρχίσει να μολύνουν το δίκτυο της εταιρείας με το Ryuk ransomware. Κατά συνέπεια, αποφασίστηκε να αποσυνδεθούν όλοι οι μολυσμένοι διακομιστές για να σταματήσει η εξάπλωσή του. Ο Tom Kilroy, διευθύνων σύμβουλος της Finastra, αργότερα δημοσίευσε μια δήλωση που έλεγε: «Με μεγάλη προσοχή, ενεργήσαμε αμέσως για να πάρουμε κάποιους από τους διακομιστές μας εκτός σύνδεσης ενώ συνεχίζουμε να ερευνούμε. Έχουμε επίσης ενημερώσει και συνεργαζόμαστε με τις αρμόδιες αρχές και επικοινωνούμε απευθείας με τυχόν πελάτες που ενδέχεται να επηρεαστούν λόγω διακοπής της υπηρεσίας. ” Η Finastra δήλωσε επίσης ότι δεν βρήκαν «στοιχεία που να αποδεικνύουν ότι τα δεδομένα πελατών ή υπαλλήλων είχαν πρόσβαση ή εξαλειφθούν, ούτε πιστεύουμε ότι επηρεάστηκαν τα δίκτυα των πελατών μας».

Η Finastra δεν πληρώνει Ransom

Από τη στιγμή που η Finastra γνώρισε την επίθεση σχετικά γρήγορα, μπόρεσε να εντοπίσει και να απομονώσει δυνητικά μολυσμένους διακομιστές. Αυτό περιείχε την επίθεση σε περιορισμένο αριθμό διακομιστών, οι οποίοι στη συνέχεια μεταφέρθηκαν γρήγορα εκτός σύνδεσης. Στη συνέχεια, η Finastra απολύμανσε όλους τους διακομιστές κακόβουλου λογισμικού εκτός σύνδεσης όπου ήταν δυνατόν και ξαναχτίστηκε τους άλλους από αντίγραφα ασφαλείας.

Αυτές οι γρήγορες ενέργειες επέτρεψαν στην εταιρεία να επαναφέρει βασικές υπηρεσίες στο διαδίκτυο εντός ημερών χωρίς να πληρώσει τα λύτρα. «Διατήρησε τον έλεγχο του δικτύου μας μέσω της δράσης που κάναμε για να πάρουμε τους διακομιστές μας εκτός σύνδεσης και η ικανότητά μας να συνεχίσουμε τις λειτουργίες σε σχετικά σύντομο χρονικό διάστημα αντικατοπτρίζει αυτό», δήλωσε εκπρόσωπος της εταιρείας στο Bloomberg Businessweek. Άλλοι οργανισμοί, όπως το Πανεπιστήμιο του Μάαστριχτ, το Travelex και η Πόλη της Νέας Ορλεάνης, χρειάστηκαν εβδομάδες για να επιστρέψουν στο διαδίκτυο.

Κλείνοντας τις βασικές υπηρεσίες αντί να πληρώσουμε τα λύτρα, η Finastra απορρόφησε έναν τύπο κόστους για να αποφύγει ένα άλλο, πιθανώς πιο σοβαρό κόστος. «Πληρώνοντας τα λύτρα», συνέχισε ο εκπρόσωπος, «σε κάνει μόνο μεγαλύτερο στόχο για την επόμενη φορά».

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me