Skip to content
RançongicielRançon payée

Rançongiciel Sodinokibi et effondrement de Travelex (2019–2020)

Les opérateurs de REvil/Sodinokibi ont déclenché leur charge contre Travelex le soir du Nouvel An 2019 après avoir séjourné dans le réseau pendant six mois via un VPN Pulse Secure non corrigé. Travelex a versé 2,3 millions de dollars ; la maison mère Finablr a fait défaut ; PwC a placé Travelex en liquidation, avec la perte de plus de 1 300 emplois.

Victime
Travelex
Perte
$2.3M
SecteurFinance
GroupeREvil
CVECVE-2019-11510

Le soir du Nouvel An 2019, l'entreprise londonienne de change Travelex a été frappée par le rançongiciel REvil/Sodinokibi. L'attaque — exploitant une faille Pulse Secure VPN non corrigée au sujet de laquelle l'entreprise avait été alertée plusieurs mois plus tôt — a déclenché une chaîne d'événements qui s'est finalement achevée par l'effondrement de la maison mère de Travelex, Finablr, et la perte de plus de 1 300 emplois.

Ce qui s'est passé

Les opérateurs de REvil seraient entrés dans le réseau de Travelex à la mi-2019 via CVE-2019-11510, une vulnérabilité Pulse Secure VPN qui permettait la divulgation non authentifiée d'identifiants à distance. Les chercheurs en sécurité avaient publiquement averti Travelex de l'exposition sur ce vecteur spécifique avant l'attaque ; le correctif n'avait pas été appliqué.

Les attaquants ont séjourné dans le réseau pendant environ six mois et exfiltré environ 5 Go de données clients sensibles — dates de naissance, informations de carte de crédit, numéros National Insurance — avant de déclencher le rançongiciel le 31 décembre 2019. Le site public de Travelex est tombé hors ligne et ses opérations de change à travers 26 pays ont été gravement perturbées.

REvil a d'abord exigé 6 millions de dollars. Après des semaines de négociation, Travelex a versé environ 2,3 millions de dollars (~285 BTC).

Le rançongiciel n'était que le début du problème. Les dommages réputationnels et opérationnels se sont aggravés avec un scandale comptable déjà en cours chez Finablr. La maison mère Finablr a échoué dans sa tentative de céder Travelex, et PwC est intervenu comme administrateur — avant de finalement liquider Travelex, avec la perte de plus de 1 300 emplois.

Impact

  • Opérations de change perturbées dans 26 pays.
  • Environ 5 Go de données clients incluant date de naissance, détails de carte de crédit et numéros NI exfiltrés.
  • Rançon de 2,3 millions de dollars payée.
  • Travelex entré en liquidation ; plus de 1 300 emplois perdus.
  • L'effondrement de Finablr aggravé par les retombées du rançongiciel.

Pourquoi cela compte

Travelex est l'étude de cas fondatrice qui démontre pourquoi le patching importe et pourquoi un rançongiciel peut survivre à l'entreprise qui le paie. Une faille VPN non corrigée, ignorée malgré des avertissements publics spécifiques, a tué une marque de change de 50 ans. Toute discussion moderne sur le risque cyber au niveau du conseil d'administration dans la finance britannique trouve son origine ici.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
2.3M
USD · 2 300 000 $US
Rançon demandée
$6.0M
Rançon payée
$2.3M
  • Rançon payée$2.3M

Chronologie

  1. Les opérateurs de REvil auraient établi un accès au réseau de Travelex via une vulnérabilité Pulse Secure VPN non corrigée (CVE-2019-11510) — une faille au sujet de laquelle l'entreprise avait été alertée plusieurs mois plus tôt.

  2. Le soir du Nouvel An, REvil/Sodinokibi déclenche son rançongiciel sur les systèmes de Travelex, mettant le site public hors ligne et perturbant les opérations de change dans 26 pays.

  3. Bloomberg rapporte que Travelex reste paralysée et que REvil exige 6 millions de dollars.

  4. Travelex verse environ 2,3 millions de dollars (~285 BTC) pour récupérer l'accès à ses données.

  5. La maison mère Finablr échoue dans sa tentative de céder Travelex ; PwC reprend la restructuration ; Travelex entre en liquidation, avec la perte de plus de 1 300 emplois.

Sources

  1. bankinfosecurity.comhttps://www.bankinfosecurity.com/travelex-paid-23-million-to-ransomware-attackers-report-a-14094
  2. bloomberg.comhttps://www.bloomberg.com/news/articles/2020-01-07/travelex-crippled-since-new-year-s-eve-by-ransomware-attack
  3. techradar.comhttps://www.techradar.com/news/travelex-website-was-hit-by-sodinokibi-ransomware
  4. securityboulevard.comhttps://securityboulevard.com/2020/01/travelex-still-down-two-weeks-after-sodinokibi-ransomware-infection/

Incidents liés

RançongicielRançon payée

Rançongiciel REvil contre JBS Foods

Des affiliés de REvil ont chiffré les systèmes du plus grand transformateur de viande au monde, paralysant des usines de transformation de bœuf et de porc aux États-Unis, au Canada et en Australie. JBS a payé une rançon de 11 millions de dollars — l'un des plus importants paiements de rançongiciel publiquement confirmés à l'époque.

Victim
JBS S.A. / JBS USA
Loss
$100.0M
Chaîne d’approvisionnementContenu

Rançongiciel par chaîne d'approvisionnement contre Kaseya VSA (REvil)

Des affiliés de REvil ont exploité une faille zero-day d'injection SQL dans la plateforme de gestion à distance Kaseya VSA pour déployer un rançongiciel auprès d'environ 60 MSP et, à travers eux, d'environ 1 500 organisations en aval. La plus grande attaque par rançongiciel via la chaîne d'approvisionnement jamais enregistrée.

Victim
Clients de Kaseya VSA (~60 MSP, ~1 500 organisations en aval)
Loss
$200.0M
RançongicielEn cours

Fuite chez La Centrale du Financement

Un pirate a exfiltré environ 387 Go de données (quelque 411 000 fichiers) du réseau du courtier en crédit et en prêt immobilier La Centrale de Financement, exposant des documents KYC, financiers et internes très sensibles, puis a mis le lot en vente après l'échec de négociations d'extorsion.

Victim
La Centrale du Financement