Skip to content
CBCyber Breaches
Recherche
RançongicielRançon payée

Rançongiciel Sodinokibi et effondrement de Travelex (2019–2020)

Les opérateurs de REvil/Sodinokibi ont déclenché leur charge contre Travelex le soir du Nouvel An 2019 après avoir séjourné dans le réseau pendant six mois via un VPN Pulse Secure non corrigé. Travelex a versé 2,3 millions de dollars ; la maison mère Finablr a fait défaut ; PwC a placé Travelex en liquidation, avec la perte de plus de 1 300 emplois.

Victime
Travelex
Perte
$2.3M
SecteurFinance
PaysRoyaume-Uni
GroupeREvil
CVECVE-2019-11510

Le soir du Nouvel An 2019, l'entreprise londonienne de change Travelex a été frappée par le rançongiciel REvil/Sodinokibi. L'attaque — exploitant une faille Pulse Secure VPN non corrigée au sujet de laquelle l'entreprise avait été alertée plusieurs mois plus tôt — a déclenché une chaîne d'événements qui s'est finalement achevée par l'effondrement de la maison mère de Travelex, Finablr, et la perte de plus de 1 300 emplois.

Ce qui s'est passé

Les opérateurs de REvil seraient entrés dans le réseau de Travelex à la mi-2019 via CVE-2019-11510, une vulnérabilité Pulse Secure VPN qui permettait la divulgation non authentifiée d'identifiants à distance. Les chercheurs en sécurité avaient publiquement averti Travelex de l'exposition sur ce vecteur spécifique avant l'attaque ; le correctif n'avait pas été appliqué.

Les attaquants ont séjourné dans le réseau pendant environ six mois et exfiltré environ 5 Go de données clients sensibles — dates de naissance, informations de carte de crédit, numéros National Insurance — avant de déclencher le rançongiciel le 31 décembre 2019. Le site public de Travelex est tombé hors ligne et ses opérations de change à travers 26 pays ont été gravement perturbées.

REvil a d'abord exigé 6 millions de dollars. Après des semaines de négociation, Travelex a versé environ 2,3 millions de dollars (~285 BTC).

Le rançongiciel n'était que le début du problème. Les dommages réputationnels et opérationnels se sont aggravés avec un scandale comptable déjà en cours chez Finablr. La maison mère Finablr a échoué dans sa tentative de céder Travelex, et PwC est intervenu comme administrateur — avant de finalement liquider Travelex, avec la perte de plus de 1 300 emplois.

Impact

  • Opérations de change perturbées dans 26 pays.
  • Environ 5 Go de données clients incluant date de naissance, détails de carte de crédit et numéros NI exfiltrés.
  • Rançon de 2,3 millions de dollars payée.
  • Travelex entré en liquidation ; plus de 1 300 emplois perdus.
  • L'effondrement de Finablr aggravé par les retombées du rançongiciel.

Pourquoi cela compte

Travelex est l'étude de cas fondatrice qui démontre pourquoi le patching importe et pourquoi un rançongiciel peut survivre à l'entreprise qui le paie. Une faille VPN non corrigée, ignorée malgré des avertissements publics spécifiques, a tué une marque de change de 50 ans. Toute discussion moderne sur le risque cyber au niveau du conseil d'administration dans la finance britannique trouve son origine ici.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
2.3M
USD · 2 300 000 $US
Rançon demandée
$6.0M
Rançon payée
$2.3M
  • Rançon payée$2.3M

Chronologie

  1. Les opérateurs de REvil auraient établi un accès au réseau de Travelex via une vulnérabilité Pulse Secure VPN non corrigée (CVE-2019-11510) — une faille au sujet de laquelle l'entreprise avait été alertée plusieurs mois plus tôt.

  2. Le soir du Nouvel An, REvil/Sodinokibi déclenche son rançongiciel sur les systèmes de Travelex, mettant le site public hors ligne et perturbant les opérations de change dans 26 pays.

  3. Bloomberg rapporte que Travelex reste paralysée et que REvil exige 6 millions de dollars.

  4. Travelex verse environ 2,3 millions de dollars (~285 BTC) pour récupérer l'accès à ses données.

  5. La maison mère Finablr échoue dans sa tentative de céder Travelex ; PwC reprend la restructuration ; Travelex entre en liquidation, avec la perte de plus de 1 300 emplois.

Sources

  1. bankinfosecurity.comhttps://www.bankinfosecurity.com/travelex-paid-23-million-to-ransomware-attackers-report-a-14094
  2. bloomberg.comhttps://www.bloomberg.com/news/articles/2020-01-07/travelex-crippled-since-new-year-s-eve-by-ransomware-attack
  3. techradar.comhttps://www.techradar.com/news/travelex-website-was-hit-by-sodinokibi-ransomware
  4. securityboulevard.comhttps://securityboulevard.com/2020/01/travelex-still-down-two-weeks-after-sodinokibi-ransomware-infection/

Incidents liés

RançongicielContenu

Arrêt mondial de production chez Jaguar Land Rover (Scattered Lapsus$ Hunters, 2025)

Une cyberattaque contre le plus grand constructeur automobile britannique a contraint JLR à couper son réseau informatique mondial et a interrompu la production de véhicules au Royaume-Uni, en Chine, en Slovaquie, en Inde et au Brésil pendant cinq semaines — désormais considérée comme l'incident cyber le plus économiquement dommageable de l'histoire du Royaume-Uni.

Victim
Jaguar Land Rover
Loss
$2.40B
RançongicielContenu

Rançongiciel DragonForce chez Marks & Spencer (Scattered Spider, 2025)

L'ingénierie sociale d'un service d'assistance tiers a permis à Scattered Spider d'obtenir un compte administrateur de domaine, utilisé pour déployer le rançongiciel DragonForce sur le parc VMware ESXi de M&S pendant le week-end de Pâques 2025 — paralysant les paiements sans contact, le Click & Collect et les commandes en ligne pendant plus de six semaines.

Victim
Marks & Spencer
Loss
$550.0M
RançongicielContenu

Rançongiciel LockBit contre ICBC Financial Services (2023)

Le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'ICBC, la plus grande banque mondiale, bloquant le règlement de plus de 9 milliards de dollars de transactions sur les bons du Trésor américain. Le personnel de la banque a envoyé les détails de règlement critiques sur clé USB, par messager, à travers Manhattan. 62 milliards de dollars de bons du Trésor n'ont pas pu être livrés en une seule journée.

Victim
ICBC Financial Services (courtier-négociant américain d'Industrial and Commercial Bank of China)
Loss
$9.00B