Empresa de turismo sofre ataque e hackers pedem R$ 12 milhões para liberar sistemas

Empresa ignorou alerta de segurança e teve dados criptografados. Hackers conseguiram excluir todos os backups.

Faz uma semana que um ataque cibernético derrubou os sistemas da multinacional de Turismo Travelex. De acordo com informações do BleepingComputer, a empresa foi alvo de um ransomware conhecido como Sodinokibi.

A praga digital, que sequestra arquivos e pede resgate em bitcoin, infectou os sistemas da empresa no dia 31 de dezembro, deixando diversos serviços fora do ar até hoje.

A Travelex é uma empresa britânica especializada em câmbio e turismo. No Brasil ela atua por meio do Grupo Travelex Confidence, formado pela Confidence Câmbio e pelo Travelex Bank.

Em nota, a empresa disse que os sistemas no Brasil não foram afetados, veja a nota:

“O Grupo Travelex Confidence informa que o vírus do tipo ransomware, que atacou as redes da Travelex Global, não afetou o Brasil. Por fazer uso de sistemas independentes, tanto as operações como os clientes locais não foram impactados. Os sistemas do Grupo no Brasil estão funcionando normalmente. A Travelex Global está tomando todas as ações necessárias para resolver a situação, incluindo a instauração de uma investigação aprofundada.”

Diante do problema, a Travelex tirou todos os sistemas do ar, desligando todos os computadores e servidores, uma precaução para “proteger os dados e impedir a propagação do vírus”.

O resultado obvio foi que os clientes não conseguem mais acessar o site e aplicativo da empresa, mais de 1.500 filiais espalhadas pelo mundo estão sem sistema. Centenas de reclamações de clientes estão aparecendo nas redes sociais.

Enquanto o problema se agrava, a Travelex respondeu aos clientes que ainda não tem previsão para restabelecer os serviços. No site da empresa há uma informação sobre um “incidente cibernético” e “manutenção planejada” em outras páginas.

Rede interna da empresa foi bloqueada e arquivos foram roubados

De acordo com a ComputerWeekly, o ransomware usado no ataque da Travelex é o Sodinokibi. O BleepingComputer conseguiu confirmar que os sistemas da Travelex foram realmente infectados pelo ransomware.

De acordo com o site, todos os arquivos da empresa foram criptografados e tiveram seus nomes alterados para uma sequência de mais de cinco caracteres aleatórios, semelhantes a .a7i3b47.

Além de pedir resgate em bitcoin, os hackers copiaram mais de 5 GB de dados pessoais da empresa, esses dados possuem datas de nascimento, números de previdência social e outros detalhes.

Hackers exigem resgate de R$ 12 milhões em Bitcoin

Uma situação incomum, os hackers tiveram acesso extremamente privilegiado aos sistemas da empresa, eles conseguiram deletar os backups, fazendo com que fique praticamente impossível que a empresa recupere os arquivos sozinha.

O resgate exigido pelos hackers é de US $ 3 milhões, (R$ 12 milhões); os hackers disseram que todos os arquivos serão divulgados na internet caso o resgate não seja pago. Existe uma contagem regressiva desde o dia 31 de dezembro.

Exemplo da tela do Ranwomware Sodinokibi
Exemplo da tela do Ranwomware Sodinokibi

Travelex ignorou alerta de segurança e deixou porta aberta

Detalhes de como o ataque ocorreu ainda não foram revelados pela empresa, mas um especialista em segurança já havia alertado a empresa sobre falhas de segurança.

O curioso aqui é que a empresa recebeu o alerta de segurança em Setembro, mas nada foi feito.

De acordo com o Bleeping Computer, a Travelex usa a plataforma de nuvem da Amazon, e todos o servidores Windows estavam expostos na Internet sem nenhum tipo de recurso de autenticação a nível de rede ativado.

Isso significa que qualquer pessoa que conhecesse o IP do servidor poderia se conectar ao sistema.

O pesquisador de segurança publicou uma imagem relatando a falha encontrada.

Com esse acesso, quem invadiu o sistema teve todo tempo do mundo para implantar o ransomware na rede e criptografar os arquivos.

A empresa também usava uma solução de VPN cheia de vulnerabilidades (CVE-2019-11510), um pesquisador de segurança descreveu as falhas dessa solução de VPN em um blog.

De acordo ele, as várias falhas do sistema de VPN “permitiam que qualquer um sem login e senha válida conseguisse se conectar remotamente à rede corporativa da empresa.

Parece que ignorar o alerta saiu bem caro.