Il primo ransomware degno di nota del 2020 ha già colpito: è Sodinokibi (anche chiamato REvil), l’infezione che recentemente ha attaccato i sistemi informatici di Travelex, società di cambio londinese da cui dipendono le attività di banche come Barclays, Lloyds, Rbs. L’attacco ransomware in realtà non è il primo dell’anno nuovo ma l’ultimo del 2019, tuttavia se ne è parlato pubblicamente solo nei primi giorni di gennaio. Sui suoi siti Web operativi in varie nazioni, la società ha scritto che “martedì 31 dicembre Travelex ha rilevato la presenza di un virus il quale ha compromesso alcuni dei servizi aziendali. Una volta rilevato il virus, come misura precauzionale, Travelex ha immediatamente messo offline tutti i propri sistemi al fine di evitare un’ulteriore diffusione dello stesso attraverso la rete aziendale”.
Per impedire all’infezione di propagarsi, una parte dei server è stata messa offline e conseguentemente il servizio di cambio valuta è stato sospeso. E oggi, a distanza di quasi due settimane dal fattaccio, solo una parte dei sistemi informatici dell’azienda londinese sono tornati operativi e in molte delle 70 aree geografiche in cui Travelex è presente (Italia inclusa) non è ancora possibile usufruire del servizio. Evidenziando il bicchiere mezzio pieno, l’azienda ha comunicato con una dichiarazione del suo Ceo, Tony D’Souza, che “continuiamo a fare buoni progressi nel ripristino e abbiamo già completato una parte significativa in background. Ora siamo arrivati al punto di poter riattivare la funzionalità per i nostri partner e per il servizio clienti”. Ulteriori informazioni saranno fornite alle banche partner nel corso della settimana, ha promesso D’Souza, specificando poi di contare sul fatto che “saremo in grado di riattivare i nostri servizi e assicurare l’integrità e la solidità della rete”.
Oltre all’interruzione del servizio (e ai conseguenti danni economici), Travelex ha un altro problema. La società sostiene ha dichiarato pubblicamente che “nonostante le indagini del caso siano ancora in corso, non vi è alcuna prova che i dati personali dei clienti siano stati rubati”. Ma indiscrezioni riferite dalla Bbc suggeriscono qualcosa di diverso, se non la certezza almeno il rischio di un data breach. Innanzitutto, il gruppo hacker chiamato Sodinokibi avrebbe preteso il pagamento di un riscatto da 6 milioni di dollari per annullare la crittografia sui dati presi in ostaggio.
E c’è di più: stando alle rivelazioni fatte dagli stessi hacker alla Bbc (ammettendo che la fonte fosse chi dichiarava di essere), il medesimo gruppo avrebbe già attaccato con successo i sistemi informatici di Travelex circa sei mesi fa. In quell’occasione, sarebbero stati acquisiti 5 GB di dati sensibili dei clienti. Una società di cybersicurezza come Darktrace sembra non avere molti dubbi in proposito. “Siamo entrati in una nuova era di minacce, nella quale gli aggressori non solo bloccano i dati chiedendo un riscatto ma li rubano e minacciano di pubblicarli qualora il riscatto non venga pagato”, ha commentato Max Heinemeyer, director of threat hunting di Darktrace. “Questa nuova tattica è stata lanciata dal gruppo hacker Maze lo scorso anno e ora è stata sfruttata negli attacchi Sodinokibi per colpire Travelex con una doppia minaccia, costringendo l’azienda a tornare a carta e penna per condurre le proprie operazioni. Sull’effettivo o presunto data breach per il momento bisogna sospendere il giudizio. L’unica certezza è che Travelex, come dichiarato dall’azienda, “continua a lavorare con le autorità competenti, incluso il National Cyber Security Centre e la Metropolitan Police”.