De internationale geldwisselaar Travelex heeft criminelen 2,3 miljoen dollar betaald voor het ontsleutelen van bestanden die door ransomware waren versleuteld, zo stelt The Wall Street Journal op basis van een bron. De criminelen hadden eerder al aan de website Bleeping Computer laten weten dat Travelex had betaald, maar een bedrag was destijds niet genoemd. De totale schade door de ransomware-aanval loopt in de miljoenen.
Op 31 december werd Travelex getroffen door de Sodinokibi-ransomware. Vanwege de infectie werd besloten om alle systemen offline te halen, wat gevolgen had voor klanten. Die konden geen gebruik meer maken van de online diensten van de geldwisselaar. Het ging onder andere om de "travel money service", de mogelijkheid om online Travelex Money Cards te bestellen en op te waarderen en de mogelijkheid om geld over te maken.
Op 17 januari hervatte Travelex een aantal van de diensten. De Britse website van het bedrijf kwam echter pas eind januari weer online. De Nederlandse website van GWK Travelex volgde zo'n twee weken later. De omzet van Travelex was in het eerste kwartaal van dit jaar 25 miljoen pond lager dan in dezelfde periode vorig jaar. Volgens de geldwisselaar was dit voornamelijk toe te schrijven aan de malware (pdf).
Hoe het bedrijf besmet raakte is nog altijd onbevestigd. Mogelijk maakten de aanvallers gebruik van een kwetsbaarheid in de vpn-servers van Pulse Secure. Onderzoekers ontdekten in september meerdere kwetsbare Pulse Secure-servers van Travelex en informeerden het bedrijf hierover. Travelex had een beveiligingsupdate die sinds april 2019 beschikbaar was niet geïnstalleerd. Aanvallers maken gebruik van de kwetsbaarheid in Pulse Secure om organisaties met ransomware te infecteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.