Fintech Finastra Înapoi online fără a plăti Ransom | VPNoverview.com

Compania finastra de tehnologie financiară din Londra, Finastra a devenit victima unui atac ransomware la mijlocul lunii martie. Atacatorii au profitat de slăbiciunile de lungă durată ale infrastructurii de securitate Finastra. Finastra s-a întors online relativ rapid fără să fi plătit răscumpărarea.


Cum s-a întâmplat

Finastra este o firmă fintech din Londra, cu birouri în 42 de țări din întreaga lume și peste 10.000 de angajați. Peste 9.000 de clienți ai săi includ 90 din primele 100 de bănci la nivel global. Cu toate acestea, în ciuda dimensiunilor acestora, Finastra a purtat riscuri de cibersecuritate și protecție a datelor cunoscute de ceva timp înainte de atac.

Anul trecut, Bad Packets, o firmă de informații despre amenințări, a realizat o scanare pe internet, care evidențiază mai multe vulnerabilități la Finastra. Potrivit Bad Packets, Finastra a rulat servere nepatrimate o perioadă considerabilă de timp. De asemenea, ei au descoperit că Finastra rulează încă serverele Pulse Secure VPN și Citrix depășite. La începutul acestui an, Bad Packets a raportat că Finastra rulează încă patru servere Citrix depășite.

Ambele servere menționate mai sus au documentat vulnerabilități de care au fost profitați de hackeri în trecut. Aceste slăbiciuni ale infrastructurii de securitate a Finastra ar putea fi vinovate pentru atacul recent al ransomware-ului Fianstra.

De ce nu am fost reparați vulnerabilitățile?

O persoană familiarizată cu investigațiile întreprinse la Finastra după atac a vorbit cu Bloomberg Businessweek la începutul săptămânii. Persoana a spus publicației că echipa de securitate a Finastra a recomandat să remedieze vulnerabilitățile de administrare cu ceva timp în urmă. Cu toate acestea, conducerea a decis să nu meargă înainte cu repararea vulnerabilităților, în condițiile în care se referă la modificările care ar provoca perturbări în aplicațiile mai vechi.

Cum s-a perceput atacul?

Atacatorii au obținut acces la sistemele Finastra prin surprinderea parolelor angajaților și instalarea în aer liber în zeci de servere critice ale firmei. Atacatorii au folosit apoi vulnerabilități preexistente pentru a le permite să se deplaseze în rețeaua firmei. Atacul a fost nedetectat timp de trei zile, dar în cele din urmă, activitatea neobișnuită pe serverele nor Finastra a alertat echipa de securitate despre posibile probleme.

În aceeași zi, Finastra a prezentat o declarație care scria: „Dorim să informăm clienții noștri apreciați că investigați o posibilă încălcare a securității. La 3:00 a.m. EST, pe 20 martie 2020, am fost avertizați asupra unei activități anormale din rețeaua noastră, care a riscat integritatea centrelor noastre de date. Ca atare și pentru a ne proteja clienții, am luat măsuri rapide și stricte de remediere pentru a conține și a izola incidentul, în timp ce investigăm în continuare. ”

Echipa de securitate a descoperit că atacatorii au început să infecteze rețeaua firmei cu ransomware-ul Ryuk. În consecință, s-a decis ca toate serverele infectate să fie offline pentru a opri răspândirea acestuia. Tom Kilroy, directorul de operațiuni al Finastra, a publicat ulterior o declarație care spunea: „Din abundență de precauție, am acționat imediat pentru a scoate un număr de servere offline în timp ce continuăm să investigăm. De asemenea, am informat și cooperăm cu autoritățile relevante și suntem în legătură directă cu orice clienți care ar putea fi afectați ca urmare a unei întreruperi a serviciilor. ” De asemenea, Finastra a declarat că nu au găsit „dovezi că datele clientului sau ale angajaților au fost accesate sau exfiltrate și nici nu credem că rețelele clienților noștri au fost afectate.”

Finastra Pays No Ransom

De când Finastra a luat cunoștință de atac relativ rapid, a fost capabil să identifice și să izoleze serverele potențial infectate. Aceasta a cuprins atacul către un număr limitat de servere, care au fost apoi luate rapid offline. În continuare, Finastra a dezinfectat toate serverele offline de malware, atunci când a fost posibil, și le-a reconstruit pe celelalte din copii de rezervă.

Aceste acțiuni rapide au permis firmei să readucă serviciile cheie online în câteva zile fără să plătească răscumpărarea. „Am păstrat controlul rețelei noastre prin acțiunile pe care le-am întreprins în luarea offline a serverelor noastre, iar capacitatea noastră de a relua operațiunile într-un spațiu relativ scurt de timp reflectă asta”, a declarat pentru Bloomberg Businessweek un purtător de cuvânt al companiei. Alte organizații, precum Universitatea Maastricht, Travelex și Orașul New Orleans, au luat săptămâni pentru a reveni online.

Prin închiderea serviciilor esențiale în loc să plătească răscumpărarea, Finastra a absorbit un tip de cost pentru a evita un alt cost, potențial mai sever. „Plătirea răscumpărării”, a spus purtătorul de cuvânt, „te face doar o țintă mai mare pentru data viitoare”.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me