L’attaque de ransomware contre la société de change britannique Travelex, qui a débuté aux alentours du 31 décembre 2019, est l’une des récentes attaques de cyber-rançon où les acteurs de la menace ont augmenté la mise en menaçant de publier les données volées aux victimes avant le déploiement du ransomware.
Une nouvelle tendance dans les attaques de ransomware
Pour la plupart des attaques de ransomware – en particulier celles menées par des affiliés utilisant des ransomware-as-a-service – le ransomware est déployé instantanément.
Un employé reçoit une pièce jointe malveillante par e-mail. Une fois qu’il ouvre la pièce jointe, le processus de chiffrement est lancé. Aujourd’hui, plusieurs acteurs de la menace ont pris des mesures pour augmenter la probabilité que leur demande de rançon soit payée.
L’Agence de la cybersécurité et de la sécurité des infrastructures du ministère américain de la sécurité intérieure a récemment émis des avertissements sur l’évolution des tactiques de demande de rançon. Elles impliquent désormais le vol de données avant le chiffrement des fichiers. Cette tactique n’est pas nouvelle, car plusieurs groupes de cybercriminels mènent ce type d’attaque depuis un certain temps, et le nombre d’attaques ne fait qu’augmenter.
Dès que les pirates accèdent au réseau de votre entreprise, ils se déplacent latéralement et accèdent au plus grand nombre de dispositifs possible. Ils peuvent voler des données puis déployer des ransomwares. Dans ce type d’attaques, le délai entre la compromission initiale et le déploiement des ransomwares peut généralement prendre plusieurs mois.
Les données peuvent être volées et vendues en ligne avec le ransomware déployé comme un coup de grâce après un compromis à long terme pour extorquer de l’argent à l’entreprise. Aujourd’hui, il est de plus en plus fréquent qu’une menace soit émise en même temps que la demande de rançon et que les données volées soient publiées ou vendues si la rançon n’est pas payée.
Cette tactique a été adoptée par les pirates derrière le ransomware Maze. Ils sont allés de l’avant, en menaçant de publier les données volées au cas où la rançon ne serait pas payée. Les cybercriminels qui utilisent les logiciels MegaCortex et LockerGoga ont également émis des menaces similaires.
Aujourd’hui, le groupe de pirates derrière le ransomware Sodinikibi (REvil) a également changé de tactique et a commencé à menacer leurs victimes de publier les données qu’ils ont volées, et il l’a fait récemment. Il a attaqué Artech Information Systems, l’une des plus grandes sociétés de recrutement de personnel informatique aux États-Unis.
Lorsque la demande de rançon n’a pas été payée, 337 Mo de données volées ont été publiées sur un forum russe de piratage et de malwares. L’attaque de ransomware contre Travelex est l’une des dernières attaques du logiciel Sodinokibi, et les pirates ont également menacé de publier les données volées.
Focus sur l’attaque de ransomware contre Travelex
La veille du Nouvel An, Travelex a mis ses systèmes hors ligne pour contenir l’infection et limiter les dégâts causés. Plus de deux semaines plus tard, les systèmes de Travelex étaient toujours hors ligne, même si la société a commencé à restaurer certains de ses systèmes. Le nombre d’agences touchées par l’attaque – à l’instar des banques et d’autres entreprises qui dépendent de ses services de change – fait de cette attaque l’une des plus graves et des plus dommageables jamais menées.
Étant donné que ses systèmes étaient hors ligne, Travelex n’a pas été en mesure de fournir ses services de change à des banques telles que HSBC, Royal Bank of Scotland, NatWest, First Direct, Barclays et Lloyds, qui dépendent toutes de Travelex pour la fourniture de leurs services de change.
De nombreuses autres entreprises, telles que les chaînes de supermarchés Sainsbury’s et Tesco, ont également dû cesser de fournir des services de change en ligne à leurs clients. Travelex a été contraint de fournir des services manuellement, à l’aide de stylos et de papiers, pour les échanges de devises de gré à gré dans ses succursales. Plus de 70 pays dans lesquels Travelex opère ont été touchés par l’attaque.
Travelex n’a diffusé qu’une quantité limitée d’informations sur l’attaque, mais les pirates ont été en contact avec plusieurs médias. Selon les premiers rapports, les pirates ont reclamé plus de 2,7 millions d’euros contre les clés de déchiffrement des fichiers, mais la demande a doublé pour atteindre plus de 5,4 millions d’euros lorsque la société n’a pas payé la rançon dans les 2 jours prévus. Les pirates ont également menacé de publier les données volées lors de l’attaque si le paiement n’était pas effectué dans les 7 jours.
Travelex a publié une déclaration affirmant qu’aucune donnée client n’avait été violée et que l’infection était contenue. La situation a été maitrisée, même si les pirates derrière Sodinokibi ont menacé de publier les données clients.
Le pirates qui ont lancé l’attaque via Sodinokibi, par l’intermédiaire d’un porte-parole, a déclaré qu’ils avaient volé 5 Go de données clients. Ces informations comprenaient les noms des clients, leurs dates de naissance, les données relatives aux cartes de crédit, les numéros de sécurité sociale et les numéros d’assurance nationale.
Les pirates ont affirmé que toutes les données volées seraient effacées et ne seraient pas utilisées si la demande de rançon était payée. Par contre, les données seraient vendues si la rançon n’était pas payée. Ils ont également déclaré avoir accès aux systèmes informatiques de Travelex 6 mois avant le déploiement du ransomware.
Comment Travelex a-t-il été attaqué ?
On ne sait pas encore exactement comment le ransomware a été installé sur le réseau de la société, mais plusieurs chercheurs en sécurité ont fourni quelques indices. Selon BleepingComputer, Travelex utilisait des services non sécurisés avant l’attaque.
Le chercheur en sécurité Kevin Beaumont a découvert que Travelex avait des serveurs AWS Windows qui n’avaient pas l’authentification au niveau du réseau activée, ce qui aurait pu donner aux attaquants la possibilité de lancer une attaque.
Une vulnérabilité critique dans la solution d’entreprise Pulse Secure VPN pour les communications sécurisées – CVE-2019-11510 – a été identifiée et a été corrigée par Pulse Secure le 24 avril 2019. Le fait est que de nombreuses entreprises ont tardé à appliquer le correctif, malgré les multiples avertissements de Pulse Secure.
Troy Mursch, directeur de recherche chez Bad Packets, a découvert que Travelex n’avait pas appliqué le correctif au moment où un kit d’exploitation de la vulnérabilité a été publié. Les pirates derrière Sodinokibi ont déclaré avoir compromis le système informatique de Travelex 6 mois avant le déploiement du ransomware.
La reprise est maintenant bien engagée
Le 13 janvier 2020, plus de deux semaines après l’attaque de ransomware, Travelex a publié une déclaration confirmant que le processus de récupération était bien engagé, bien que le site web de l’entreprise soit toujours hors ligne.
La société avait commencé à rétablir ses services de change auprès des banques et de son propre réseau. Le traitement interne des commandes a été rétabli et les systèmes de contact avec la clientèle ont été lentement remis en ligne.
Ce que Travelex n’a pas confirmé, c’est si la société a payé ou non la rançon. Aucune donnée de Travelex ne semble avoir été publiée en ligne, il est donc possible qu’un paiement de rançon ait été négocié avec les attaquants.
Coût de l’attaque de ransomware contre Travelex
Le montant de la rançon était considérable, mais cela ne représente qu’une partie du préjudice si on considère les coûts d’arrêt et de perturbation des services subis par la société.
Aucune donnée client ne semble avoir été mal utilisée, mais Travelex pourrait encore faire face à une avalanche de poursuites de la part de clients, du commissaire à l’information et à la protection de la vie privée et d’autres autorités de protection des données. Travelex a subi d’énormes préjudices, non seulement pour la violation des données de leurs clients, mais aussi pour l’exposition des données ou encore pour le défaut de déclaration dans le cadre du RGPD.
Le RGPD exige que les violations de données soient signalées aux autorités compétentes dans un délai de 72 heures, mais il semble que cela n’ait pas été fait. La sanction financière maximale pour une violation de données selon le RGPD est de 20 millions d’euros ou de 4% du chiffre d’affaires annuel global d’une entreprise, le montant le plus élevé étant retenu.
En 2018, le chiffre d’affaires annuel mondial de Travelex s’élevait à plus de 859 millions d’euros. Une amende de plus de 171 millions d’euros pourrait donc être infligée à la société.
Il convient de noter que même si les données n’ont pas été volées par les attaquants et qu’elles ont simplement été rendues inaccessibles, cela peut être considéré comme une violation de données à signaler dans le cadre du RGPD.
Un paiement de plus de 54,4 millions d’euros ne représenterait qu’une infime partie des pertes totales dues aux temps d’arrêt, aux pertes d’activité, aux poursuites judiciaires et aux amendes réglementaires subis par la société.