Fonte ligada às investigações e à restauração dos serviços da empresa confirmou a hipótese ao Wall Street Journal, mas a Travelex negou-se a comentar o assunto
Uma fonte ligada às investigações sobre o ataque à operadora de câmbio Travelex confirmou ao Wall Street Journal que ela pagou US$ 2,3 milhões por uma chave criptográfica para resgatar seus dados. No dia 31 de Dezembro de 2019, a Travelex foi contaminada por um ataque de ransomware lançado pelo grupo de APT Sodinokibi (ou REvil). Alegando que “há uma investigação em andamento”, a empresa informou à mídia que não discutirá esse assunto “no momento”.
Nas semanas seguintes ao ataque, todos os serviços de câmbio tiveram de ser feitos manualmente, os clientes ficaram impedidos de fazer transações com cartões em moeda estrangeira comprada da Travelex e os bancos parceiros também não puderam operar com os recursos que ela oferece. O incidente ajudou a compor a ‘tempestade perfeita’ para a Finablr, controladora da Travelex: primeiro por causa do ataque, segundo por causa da redução dos lucros de 25 milhões de libras no primeiro trimestre na Travelex, terceiro por causa da pandemia de coronavírus que praticamente zerou as viagens internacionais. E finalmente pela descoberta de que foram emitidos US$ 100 milhões em cheques da Finablr como garantia a empréstimos de terceiros. A Finablr não divulgou quem assinou os cheques nem quais empréstimos foram garantidos. Esse fato aconteceu antes do IPO da Finablr, em Maio de 2019.
Durante a paralisação de seus sistemas, que durou quase um mês, a Travelex disse que consultava especialistas e que estava mantendo “reguladores e parceiros informados”. Na verdade, deve ter faltado acrescentar que ela estava em negociações com o grupo Sodinokibi sobre o valor e condições do resgate. No início de janeiro, o grupo de hackers disse ao portal BleepingComputer que além de haver criptografado os dados da Travelex havia feito cópias de 5 GB de dados pessoais dos clientes dela. Se a Travelex não pagasse, esses dados seriam publicados na Internet. Desse modo, a empresa ficou entre dois caminhos distintos: 1) não pagar o resgate e arcar com as multas da GDPR europeia e com as indenizações nas ações coletivas de perdas e danos; ou 2) pagar o resgate, o que certamente seria mais barato – e no caso de ter uma apólice de seguro cibernético, poderia eventualmente receber indenização por essa despesa.
Quando Sodinokibi atingiu a Travelex, a empresa, segundo noticiário, estava usando serviços de VPN da Pulse Secure, que publicou um patch de segurança importante no ano passado. Essa foi provavelmente a vulnerabilidade explorada nesse caso.
Com agências internacionais
