GWK Travelex is aangevallen met ransomware waarbij data is buitgemaakt. De geldwisselorganisatie werd afgelopen 31 december door gijzelsoftware getroffen waardoor er geen transacties meer via de online platformen verricht konden worden.
Aanvankelijk liet Travelex weten dat het om IT-problemen ging. In een later stadium verklaarde het bedrijf dat malware de oorzaak van de problemen was. Nadere details zijn tot nu toe niet bekendgemaakt.
Sodinikibi-ransomware
Bronnen hebben aan Computer Weekly gemeld dat Travelex door de Sodinikibi-ransomware geïnfecteerd is geraakt. Dit zou gebeurd kunnen zijn via Pulse Secure VPN-servers die het bedrijf had verzuimd te patchen. Beveiligingsonderzoeker Kevin Beaumont kwam erachter dat cybercriminelen sinds kort een acht maanden oude kwetsbaarheid in de VPN-software gebruiken om organisaties met ransomware te besmetten. Beaumont trof bij Travelex zeven ongepatchte Pulse Secure VPN-servers aan.
3 miljoen dollar losgeld
De criminelen verantwoordelijk voor de infectie hebben aan Bleeping Computer laten weten dat ze het gehele Travelex-netwerk hebben versleuteld. Tevens hebben ze meer dan 5 GB aan persoonlijke data buitgemaakt, waaronder geboortedata, social-securitynummers en betaalkaartgegevens. Voor het ontsleutelen van de gegijzelde bestanden vragen de aanvallers 3 miljoen dollar aan losgeld.