Travelex confirma haber sido atacada por el ransomware Sodinokibi

El 31 de diciembre, Travelex detectó un malware que había comprometido algunos de sus servicios. Como medida de precaución, la compañía inmediatamente desconectó todos sus sistemas para evitar la propagación del virus a través de la red.

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

En un comunicado a través de su web, la compañía señala que, “si bien la investigación aún está en curso, Travelex ha confirmado que el virus es un ransomware conocido como Sodinokibi, también conocido como REvil”. Travelex ha tomado medidas de forma proactiva para contener la propagación del ransomware, que ha tenido éxito. “Hasta la fecha –prosigue el comunicado–, la compañía puede confirmar que, si bien ha habido algún cifrado de datos, no hay evidencia de que los datos personales del cliente hayan sido cifrados. Travelex todavía no tiene una imagen completa de todos los datos que se han cifrado, y no hay evidencia hasta la fecha de que se hayan extraído datos”.

Una vez completada la etapa de contención de su proceso de remediación, el análisis forense detallado está en marcha y la compañía ahora está trabajando para recuperar todos los sistemas. Hasta la fecha, Travelex ha podido restaurar una serie de sistemas internos que funcionan normalmente, y está trabajando para reanudar las operaciones normales lo más rápido posible.

"Nuestro enfoque está en comunicarnos directamente con nuestros socios y clientes para protegerlos y proteger su información de cualquier otro compromiso. Nos tomamos muy en serio nuestra responsabilidad de proteger la privacidad y seguridad de nuestros socios y los datos de los clientes, y nos disculpamos sinceramente por las molestias causadas”, apunta Tony D'Souza, director ejecutivo de Travelex. “Travelex continúa ofreciendo servicios a sus clientes de forma manual y continúa brindando soluciones alternativas a los clientes en el ínterin. Estamos trabajando incansablemente para volver a poner nuestros sistemas online".

Según varios medios, los delincuentes detrás del ataque están exigiendo una suma de seis cifras a cambio de la clave de descifrado, y están dirigiendo a la compañía a un sitio web de pago alojado en Colorado. “Es solo un negocio. No nos preocupamos en absoluto por usted ni por sus datos, excepto para obtener beneficios", reza el archivo léame del ransomware. “Si no coopera con nuestro servicio, para nosotros no importa. Pero perderá su tiempo y sus datos, porque solo nosotros tenemos la clave privada. En la práctica, el tiempo es mucho más valioso que el dinero".