Cyberatak przeprowadzony na firmę Travelex, zajmującą się obsługą wymiany walut, jest kolejnym przykładem nowego trendu w środowisku cyberprzestępczym. W tym wypadku, cyberprzestępcy zażądali okupu za odszyfrowanie danych, a także za nieupublicznienie wykradzionych informacji.

Może być to nowy trend w atakach ransomware, o którym pisaliśmy w przypadku grupy Maze.

Jak podaje Zaufana Trzecia Strona (ZTS), data cyberataku niebyła przypadkowa, gdyż przypadła na okres świąteczny (31.12-01.01). Nikt z pracowników nie zauważył anomalii w ruchu sieciowym firmy Travelex.

Przyczyną cyberataku był najprawdopodobniej były braki w aktualizacjach krytycznych usług, słabym punktem były serwery VPN Pulse Secure. Luka została wykorzystana do uzyskania dostępu do sieci wewnętrznej.

Na początku cyberprzestępcy zażądali okupu w wysokości 3 mln dolarów, po czym zwiększyli kwotę do 6 mln dolarów. Jak informuje ZTS, podwyższenie kwoty okupu jest strategią i wiąże się z opieszałością ofiary w płatności za okup.

Jak można domniemywać Travelex nie zapłacił okupu, gdyż na rosyjskim forum hakerskim opublikowano informację oraz odnośniki do „testowych paczek” informacji, jakie zostały wykradzione. Na ZTS może znaleźć szczegółowy opis ataku.