ransomware: kazali zapłacić ~10 000 000 w PLN w bitcoinach za odszyfrowanie danych. Zapłacili, rozejść się [Travelex].

10 kwietnia 2020, 13:51 | W biegu | komentarzy 17
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Chodzi o firmę Travelex – która zajmuje się wymianą walut. 40 milionów klientów rocznie, 1000 walutomatów na całym świecie, obecność w 170 krajach. Nie jest to na pewno maluch. W każdym razie „oberwali” parę miesięcy temu ransomwarem, a wg świeżej relacji WSJ zapłacili stosowny okup (285 BTC):

Travelex, known for its ubiquitous foreign-exchange kiosks in airports and tourist sites around the world, was shut down by a computer virus that infiltrated its networks early this year. It responded by paying the hackers the equivalent of $2.3 million, according to a person familiar with the transaction.

Z oficjalnych informacji wynika że w użyciu był REvil (wspominany już na sekuraku), można też się zastanawiać czy atakujący nie zagrozili ujawnieniem części wykradzionych danych. W każdym razie okup prawdopodobnie został zapłacony, dane odszyfrowane, firma działa sprawnie dalej. Można oczywiście powiedzieć: nie płacimy szantażystom – i ma to w wielu przypadkach uzasadnienie. Co jednak jeśli skazuje to firmę na tygodnie/miesiące przestoju? Co z karami za ew. wyciek danych? Tutaj zapewne duży głos mają uczestniczący w sztabie kryzysowym księgowi…

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. olek

    No co można powiedzieć .Gdzie do ku– byli informatycy z tej firmy .Dlaczego używali oprogramowania które idzie tak łatwo zniszczyć,

    I wiele innych pytań.??

    Odpowiedz
    • admin

      No to się profesjonalista odezwał. Pewnie pseudo IT jak 3/4 ludzi w każdej firmie i pan domu.

      Odpowiedz
    • Jacek

      Olek czy ty kiedyś pracowałeś w firmie która zatrudnia ludzi nie technicznych??
      Klikacze są wśród nas. I coraz bardziej dochodzę do wniosku że antywirus to już dawno przestal chronić.

      Odpowiedz
    • qwerty

      Może na informatykach oszczędzali… Pytanie – czy czegoś ich ta sytuacja nauczy na przyszłość.

      Odpowiedz
    • Borys

      Na IT to chyba się w każdej firmie oszczędzą. Dodając do tego menadżerów działu IT, których wiedza na temat IT jest praktycznie zerowa. Dodając kilka innych współczynników wychodzi katastrofa. Wszyscy się budzą po :) BTW: jak już sprawa się uspokoi to dalej wrócą do tego samego stanu, no ewentualnie jakiś audyt bezpieczeństwa IT będzie przeprowadzony + czynności zaradcze.

      Odpowiedz
      • sdas

        Nie oszczędzają, tylko nigdy nie możesz powiedzieć, że „już wszystko jest ogarnięte i dopracowane”. Bo gdy chcesz odpocząć, to badacze znajdują kolejna dziurę.

        A źródeł ataków jest multum! Telefon, drukarka, router, Windows, jakiś programik, aplikacja itp.

        Odpowiedz
  2. Xx

    Panie Olku. Nawet cały sztab informatyków i wprowadzanie kolejnych zaostrzen co do bezpieczeństwa systemu i sieci nie jest w stanie zablokować wszystkich prób włamania się do systemu. Niestety jak mówią mądrzy ludzie-największa bolączką systemów komputerowych jest ich użytkownik

    Odpowiedz
  3. GvS

    Nigdy przenigdy nie wrzucajcie informacji, że wpłacony okup za ransomware był skuteczny.

    Dzięki takim artykułom rośnie świadomość, że wpłacanie okupu się opłaca – a o to chodzi twórcom ransomware.

    Lepiej byście wrzucili kilkanaście artykułów o ludziach, którzy wpłacili okup, ale odszyfrowania danych się nie doczekali – wtedy proceder zapłaty nie miałby zaufania i nikt by nie płacił, ergo interes by upadł.

    Odpowiedz
    • TLDR: to nie jest jednoznaczny temat. Bo z drugiej strony są firmy, które jeśli nie zapłacą to upadną. I małą maja motywację do upadania – jeśli to jest w imię mglistego „może kiedyś innym będzie lepiej” :/

      Odpowiedz
      • Dominik

        Warto zawsze zobaczyć na obrót oraz zysk.
        5 dniowy obrót za rok 2018 tyle poprosili włamywacze.
        Około miesięczny zysk operacyjny firmy.
        Jak się doda dodatkowo brak problemu medialnego oraz problemu z RODO to płatność nabiera sensu.

        Z innej strony zapytam: Czy będzie dla zwykłego użytkownika artykuł z radami jak unikać zaszyfrowania danych ? Poza kopią na chmurze oraz na dysku zewnętrznym i braku klikania w byle co. Co jeszcze można zrobić :)

        Odpowiedz
        • sdf

          Ok, unikniesz zaszyfrowania i będziesz spokojnie spał na kopiach, a tymczasem oni zagrożą „albo kasa, albo publikujemy zdjęcia spod prysznica. Twoje, żony, nieletniej córki…”. I co zrobisz?

          Odpowiedz
          • Tomasz

            Najpierw musialyby istniec te zdjecia spod prysznica.

    • Grzegorz

      Niestety się nie zgadzam.
      Wyobraź sobie, że firma zarabia 11 mln PLN miesięcznie. Po czym zarabia 0 PLN miesięcznie w kwietniu, maju, czerwcu, lipcu… i może zacznie ‚coś’ zarabiać w sierpniu.
      E-e. Lepiej zapłacić okup i już w maju mieć z powrotem +/- standardowy obrót.
      Ransom As A Service jako interes nie upadnie, niestety.

      Odpowiedz
  4. admin

    Mam wrażenie, że atak ransomware był przykrywką dla zdobycia danych o operacjach. takie dane są cenniejsze od bitcoinów w zasobach zaatakowanej firmy.

    Odpowiedz
    • Klj

      Właśnie. A skoro już doszło do naruszenia poufności, to ewentualne zapewnienia włamywaczy o nieujawnianiu danych, do których mieli dostęp, są tylko zapewnieniami.

      Przyszedł czas zrozumieć, że to włamanie jest głównym problemem, a nie brak kopii zapasowych: temu drugiemu bardzo łatwo przeciwdziałać.

      Odpowiedz
  5. Jan

    Problemem często są sami użytkownicy, bezmyślne klikanie w linki bez zastanowienia czy klikanie w pseudo faktury za usługi od firmy której dane pierwszy raz widzi się na oczy w treści maila w dodatku pisane łamaną polszczyzną. Ludzie niestety są naiwni a później są skutki.

    Odpowiedz
  6. Tomasz

    Tu NIE zaplacili i…

    https://www.theregister.co.uk/2020/04/10/lockheed_martin_spacex_ransomware_leak/

    Ransomware scumbags leak Boeing, Lockheed Martin, SpaceX documents after contractor refuses to pay.

    The data was pilfered and dumped on the internet by the criminals behind the DoppelPaymer Windows ransomware, in retaliation for an unpaid extortion demand. The data was pilfered and dumped on the internet by the criminals behind the DoppelPaymer Windows ransomware, in retaliation for an unpaid extortion demand. …

    The files were siphoned from Visser Precision by the DoppelPaymer crew, which infected the contractor’s PCs and scrambled its files. When the company failed to pay the ransom by their March deadline, the gang – which tends to demand hundreds of thousands to millions of dollars to restore encrypted files – uploaded a selection of the documents to a website that remains online and publicly accessible. …

    The leaked files relate to these customers, in particular Tesla, Lockheed Martin, Boeing, and SpaceX. …

    This is not the first time the DoppelPaymer crew has publicly shared stolen confidential data after a victim failed to pay the ransom demands. In fact, the crooks have a regularly updated website full of internal documents belonging to organizations that didn’t cough up, though admittedly most are significantly less interesting than the Visser Precision cache.

    The dumps are intended to scare others who are infected with the ransomware into paying the group’s demands.

    Odpowiedz

Odpowiedz