Fintech Finastra trở lại trực tuyến mà không phải trả tiền chuộc | VPNoverview.com

Công ty công nghệ tài chính Finastra có trụ sở tại London đã trở thành nạn nhân của một cuộc tấn công ransomware vào giữa tháng ba. Những kẻ tấn công đã lợi dụng điểm yếu từ lâu trong cơ sở hạ tầng bảo mật Finastra. Finastra đã trở lại trực tuyến tương đối nhanh chóng mà không phải trả tiền chuộc.


Chuyện đã xảy ra như thế nào

Finastra là một công ty fintech có trụ sở tại London với văn phòng tại 42 quốc gia trên toàn thế giới và hơn 10.000 nhân viên. Hơn 9.000 khách hàng của nó bao gồm 90 trong số 100 ngân hàng hàng đầu trên toàn cầu. Tuy nhiên, mặc dù kích thước của chúng, Finastra đã mang theo rủi ro bảo vệ dữ liệu và an ninh mạng được biết đến trong một thời gian trước cuộc tấn công.

Năm ngoái, Bad Packets, một công ty tình báo mối đe dọa, đã tiến hành quét toàn bộ internet, trong đó nêu bật một số lỗ hổng tại Finastra. Theo Bad Packets, Finastra đã chạy các máy chủ chưa được vá trong một khoảng thời gian đáng kể. Họ cũng phát hiện ra rằng Finastra vẫn đang chạy các máy chủ Pulse Secure VPN và Citrix đã lỗi thời. Vào đầu năm nay, Bad Packets báo cáo rằng Finastra vẫn đang chạy bốn máy chủ Citrix lỗi thời.

Cả hai máy chủ được đề cập ở trên đều ghi nhận các lỗ hổng đã bị tin tặc lợi dụng trong quá khứ. Những điểm yếu trong cơ sở hạ tầng bảo mật Finastra, có khả năng có thể đã bị đổ lỗi cho cuộc tấn công ransomware gần đây của Fianstraftime.

Tại sao weren các lỗ hổng được sửa chữa?

Một người quen thuộc với các cuộc điều tra được thực hiện tại Finastra sau vụ tấn công đã nói chuyện với Bloomberg Businessweek hồi đầu tuần. Người này nói với ấn phẩm rằng nhóm bảo mật Finastra, đã đề nghị sửa các lỗ hổng này để quản lý một thời gian trước đây. Tuy nhiên, ban quản lý quyết định không tiếp tục sửa chữa các lỗ hổng trong bối cảnh lo ngại những thay đổi sẽ gây ra sự gián đoạn trong các ứng dụng cũ.

Cuộc tấn công đã diễn ra như thế nào?

Những kẻ tấn công đã giành được quyền truy cập vào các hệ thống Finastra, bằng cách lấy mật khẩu của nhân viên và cài đặt các cửa hậu trong hàng chục máy chủ quan trọng của hãng. Những kẻ tấn công sau đó đã sử dụng các lỗ hổng có sẵn để cho phép chúng di chuyển xung quanh mạng lưới công ty. Cuộc tấn công đã không bị phát hiện trong ba ngày nhưng cuối cùng hoạt động bất thường trên các máy chủ đám mây Finastra, đã cảnh báo cho nhóm bảo mật về các vấn đề có thể xảy ra.

Cùng ngày, Finastra đưa ra một tuyên bố có nội dung: Triệu Chúng tôi muốn thông báo cho khách hàng của mình rằng chúng tôi đang điều tra một vi phạm an ninh tiềm ẩn. Vào lúc 3:00 sáng EST ngày 20 tháng 3 năm 2020, chúng tôi đã được cảnh báo về hoạt động bất thường trên mạng của chúng tôi có nguy cơ toàn vẹn các trung tâm dữ liệu của chúng tôi. Như vậy, và để bảo vệ khách hàng của chúng tôi, chúng tôi đã có biện pháp khắc phục nhanh chóng và nghiêm ngặt để ngăn chặn và cô lập vụ việc, trong khi chúng tôi điều tra thêm.

Đội an ninh phát hiện ra rằng những kẻ tấn công đã bắt đầu lây nhiễm mạng lưới công ty dữ liệu bằng ransomware Ryuk. Do đó, nó đã quyết định đưa tất cả các máy chủ bị nhiễm ngoại tuyến để ngăn chặn sự lây lan của nó. Tom Kilroy, giám đốc điều hành Finastra, sau đó đưa ra một tuyên bố rằng: Hết cảnh giác, chúng tôi ngay lập tức hành động để lấy một số máy chủ ngoại tuyến trong khi chúng tôi tiếp tục điều tra. Chúng tôi cũng đã thông báo và đang hợp tác với các cơ quan hữu quan và chúng tôi liên lạc trực tiếp với bất kỳ khách hàng nào có thể bị ảnh hưởng do dịch vụ bị gián đoạn. Finastra cũng tuyên bố rằng họ đã không tìm thấy bất kỳ bằng chứng nào cho thấy dữ liệu của khách hàng hoặc nhân viên đã được truy cập hoặc bị loại bỏ, chúng tôi cũng không tin rằng các khách hàng của chúng tôi đã bị ảnh hưởng.

Finastra không trả tiền chuộc

Vì Finastra nhận thức được cuộc tấn công tương đối nhanh chóng, nó có thể xác định và cách ly các máy chủ có khả năng bị nhiễm. Điều này chứa cuộc tấn công vào một số lượng máy chủ hạn chế, sau đó nhanh chóng bị ngoại tuyến. Tiếp theo, Finastra đã khử trùng tất cả các máy chủ ngoại tuyến của phần mềm độc hại bất cứ khi nào có thể và xây dựng lại các phần mềm khác từ bản sao lưu.

Những hành động nhanh chóng này cho phép công ty đưa các dịch vụ chính trở lại trực tuyến trong vòng vài ngày mà không phải trả tiền chuộc. Chúng tôi giữ quyền kiểm soát mạng của mình thông qua hành động đưa máy chủ ngoại tuyến và khả năng khôi phục hoạt động trong một khoảng thời gian tương đối ngắn phản ánh điều đó, một phát ngôn viên của công ty nói với Bloomberg Businessweek. Các tổ chức khác, chẳng hạn như Đại học Maastricht, Travelex và Thành phố New Orleans, đã mất vài tuần để trở lại trực tuyến.

Bằng cách đóng cửa các dịch vụ thiết yếu thay vì trả tiền chuộc, Finastra đã hấp thụ một loại chi phí để tránh một loại chi phí khác, có khả năng nghiêm trọng hơn. Trả tiền chuộc, người phát ngôn tiếp tục nói rằng, chỉ làm cho bạn một mục tiêu lớn hơn cho lần tới.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map