Travelex aux prises avec un serveur VPN non corrigé
L’agence financière et de change Travelex est touchée par une importante attaque de ransomware perpétrée par le gang Sodinokibi. Un serveur VPN non patché en serait à la base.
Le 31 décembre 2019, Travelex a été la cible d’une attaque de rançongiciel. L’entreprise a ensuite désactivé tous ses sites et services dans quelque vingt pays, dont la Belgique. Les services de Travelex sont transférés sur papier, et on ne se sait pas encore quand tout reviendra à la normale. Au moment d’écrire ces lignes, ils n’étaient toujours pas accessibles.
L’attaque a été revendiquée par le gang Sodinokibi spécialisé en ransomware. La bande prétend avoir eu accès au réseau de l’entreprise, il y a quelque six mois, et en avoir téléchargé entre-temps 5 giga-octets de données sensibles, dont des dates de naissance, des informations de cartes de crédit et des numéros d’assurances. Les agresseurs exigent le versement d’une rançon d’un montant de 6 millions de dollars en bitcoins, comme ils l’ont déclaré eux-mêmes à la chaîne britannique BBC. Le montant initial était de trois millions de dollars, mais il a entre-temps doublé. Si l’entreprise ne paie pas cette semaine, la bande menace de vendre publiquement les données dérobées.
Pour sa part, Travelex indique qu’il n’y a aucun indice tendant à prouver que des données personnelles ont bien été volées. Elle n’a du reste pas non plus fait de déposition auprès de la commission de respect de la vie privée britannique. Or, le GDPR stipule que cela doit se faire endéans les 72 heures suivant la découverte d’un vol de données par une entreprise. L’enquête sur le piratage est menée par le ‘cybercrime team’ de la Metropolitan Police britannique.
Une brèche dans un serveur VPN
Les pirates se seraient introduits via un serveur VPN non corrigé. Il s’agit spécifiquement de la brèche que le fabricant VPN Pulse Secure avait révélée en avril de l’année dernière. A l’époque, il était apparu que le logiciel présentait une faille qui permettait, sans mot de passe ou nom d’utilisateur, d’accéder aux systèmes, de visionner les journaux (logs) et de désactiver le contrôle multi-facteur. Un correctif (patch) avait alors été lancé en urgence, lequel fut installé trop tardivement, selon des chercheurs en sécurité. La firme de sécurité Bad Packets déclare par exemple sur Twitter avoir en septembre prévenu Travelex qu’elle était vulnérable à un piratage, mais elle ne reçut pas de réponse. C’est en novembre que le patch aurait été installé, mais c’était trop tard.
Tout semble donc indiquer que le gang au ransomware a exploité cette faille pour pénétrer par effraction chez Travelex. Sodinokibi, aussi appelé REvil, est occupé à une campagne de ransomware depuis le printemps de l’année dernière. Le rançongiciel proprement dit abuse d’un bug dans le composant Windows Win32k, qui gère les droits des utilisateurs. Il en résulte que le ransomware peut verrouiller ou supprimer des fichiers auxquels il n’a normalement pas accès.
Le malware renvoie également des informations sur les ordinateurs, où il se trouve, mais il n’est pas un ver et ne se propage donc pas de lui-même. Les agresseurs ont dès lors utilisé d’autres méthodes encore pour installer le maliciel sur différents systèmes, dont des attaques lancées sur des services de Remote Desktop Protocol et, dans le cas de Travelex, sur des failles dans le VPN.
Sur papier
Après la découverte de l’attaque, Travelex a désactivé tous ses ordinateurs. Les employés de l’entreprise dans les aéroports par exemple utilisent à présent un stylo et du papier pour pouvoir continuer l’activité de change monétaire, car les ordres ne sont plus possibles en ligne. Les banques, qui travaillent avec Travelex pour le change d’argent, ne peuvent plus non plus exécuter les ordres. Des employés déclarent à la BBC qu’ils ne peuvent plus utiliser leur ordinateur depuis une semaine déjà et qu’ils sont particulièrement mal informés, ce qui est contredit par un porte-parole de l’entreprise.
Entre-temps, on voit aussi apparaître des récits de clients, qui ne peuvent accéder à leur argent depuis plus d’une semaine déjà. Travelex admet qu’elle n’a pas encore informé ses clients de l’attaque, à l’exception d’un communiqué sur son site web. Elle attribue en partie ce manque de communication au fait que tous ses ordinateurs ont été mis hors ligne.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici