Travelex : 2,3 millions de dollars rançon pour relancer les systèmes
Le début d’année avait été compliqué pour la société britannique Travelex : le 2 janvier, la société annonçait avoir été victime d’une attaque au ransomware ayant paralysé l’ensemble de ses systèmes. Le 14 janvier, l’entreprise commençait une reprise partielle de ses services. Si le rétablissement a été aussi rapide, c’est que l’entreprise aurait payé la rançon exigée par les attaquants, comme le révèle le Wall Street Journal, qui cite ici « des sources proches du dossier ». Travelex refuse de son coté de commenter une affaire encore en cours d’investigation. Selon le quotidien, la société britannique aurait versé la somme de 2,3 millions de dollars aux attaquants afin d’obtenir les clefs de déchiffrement nécessaire à la récupération des données.
Une information confirmée par les journalistes de Bleeping Computer, qui expliquent de leur coté avoir obtenu en janvier confirmation de la part des attaquants qu’une rançon avait bien été versée par les victimes, sans obtenir la somme exacte.
Au début du mois de janvier, un groupe de cybercriminels revendiquant l’attaque avaient indiqué qu’ils étaient parvenus à chiffrer les serveurs de la société et à voler des informations personnelles appartenant à des clients de la société (date de naissance, numéro de sécurité sociale et données de carte de crédit). Le groupe affirmait être en possession de 5 Go de fichiers dérobés sur les serveurs de Travelex et demandait le paiement d’une rançon de 3 millions de dollars.
Les négociations semblent avoir finalement porté leur fruits et ont permis à Travelex de restaurer ses systèmes et de reprendre son activité à partir du 17 janvier.
Le ransomware utilisé par les attaquants semble être le logiciel malveillant Sodinokibi (aussi connu sous le nom de REvil.) Comme l’explique l’Anssi dans son rapport portant sur l’état de la menace rançongiciel, ce logiciel malveillant présente des similarités avec la souche Gandcrab et fonctionne sur un modèle de Ransomware as a service, ce qui signifie qu’il pourrait être utilisé par plusieurs groupes cybercriminels distincts. L’Anssi indique que ce ransomware a été détecté pour la première fois au mois d’avril 2019.
