Le service de change Travelex mis hors service par une attaque de logiciel malveillant

Attaque d'un malware le soir du Nouvel An a empêché les clients de Travelex d'acheter des devises en ligne

Travelex, société de change basée à Londres, a été victime d'une attaque virulente de logiciels malveillants le 31 décembre – elle a dû fermer immédiatement son site Web au Royaume-Uni, ainsi que ses services en ligne, tels que la commande de devises. Les personnes qui tentent d'accéder au site Web reçoivent le message d'erreur d'exécution, alors que la société laisse entendre que le site a été mis hors service en raison de la « maintenance planifiée » et de l'attaque par un « virus logiciel ».

On ignore encore quel type de logiciel malveillant a attaqué Travelex, vu que la déclaration officielle de Twitter ne mentionne rien de particulier:

Statement on IT issues affecting Travelex services

Travelex confirms that a software virus was discovered on New Year's Eve which has compromised some of its services. As a precautionary measure, in order to protect data and prevent spread of the virus, we immediately took all our systems offline.

Fondée en 1976, Travelex est la plus grande société internationale de change de devises étrangères, elle exploite actuellement plus de 1 000 magasins et 1 000 distributeurs automatiques de billets répartis dans 26 pays, principalement installés dans des aéroports, des gares et autres. Les répercussions de l'attaque du logiciel malveillant à l'encontre de Travelex, selon la nature du logiciel malveillant, pourraient être désastreuses.

Tandis que l'enquête vient juste de commencer et qu'il manque des détails sur la nature des logiciels malveillants qui affectent les services de la société ou sur la manière dont ces logiciels ont réussi à s'introduire, Travelex a affirmé qu'aucune information sur les clients n'a été affectée par l'incident.

Barclays, Virgin Money, Tesco Bank et d'autres banques ont dû suspendre les services de change suite aux problèmes causés par le malware qui a affecté Travelex

Bien que le site officiel de Travelex.com soit totalement opérationnel, le personnel ne peut effectuer aucun type de transaction en ligne via le site Web ou l'application, comme l'indique le post de Twitter. La société a été obligée d'effectuer des opérations manuelles, en fournissant des services aux clients par l'intermédiaire des succursales dans les aéroports et autres lieux au Royaume-Uni et dans d'autres pays.

Cet incident de logiciel malveillant a affecté non seulement l'activité principale de la société, mais aussi les principales banques du Royaume-Uni, telles que Barclays, Tesco Bank, HSBC et bien d'autres . Les banques ont informé les clients qu'ils ne pouvaient pas accepter de commandes d'argent de voyage en ligne et qu'ils devaient se rendre dans les succursales pour le faire, en citant les problèmes Travelex du partenaire.

Même si l'énoncé indiquait que le service devait être rétabli en ligne dès que possible, aucune date ou heure particulière n'a été communiquée. Travelex a indiqué qu'elle avait fait appel à des spécialistes de l'informatique, ainsi qu'à des tiers experts en criminalistique, afin d'enquêter sur l'attaque du logiciel malveillant.

Présomption d'un rançongiciel

De nombreux utilisateurs étaient clairement insatisfaits de la situation – en particulier du manque d'information sur l'incident en dehors de l'énoncé général. Certains clients ont affirmé être bloqués à l'étranger en raison de l'incident, incapables d'accéder à leurs fonds. En outre, plusieurs d'entre eux doutaient également des renseignements personnels qui sont conservés au sein de l'entreprise, car les multiples atteintes à la protection des données qui ont touché des géants de l'industrie comme Equifax ou Marriott ont servi d'avertissement aux clients.

Kevin Beaumont, un chercheur en sécurité du Royaume-Uni, a découvert que Travelex n'utilise pas l'Authentification au Niveau du Réseau (NLA) pour ses serveurs Windows à plateforme AWS, ainsi que les Services de Bureau à Distance (RDP) publiquement exposés . Les Services de Bureau à Distance ont été l'un des principaux vecteurs d'attaques de rançongiciels, permettant aux acteurs malveillants d'accéder manuellement aux systèmes à distance en utilisant des références corrompues, de désactiver l'anti-malware et d'injecter la charge utile malveillante. Malheureusement, même après tant d'incidents provoqués par des rançongiciels en 2019, M. Beaumont affirme que l'absence de protection d’Authentification au Niveau du Réseau et même les patchs BlueKeep demeurent un phénomène courant:

It’s really common still, if you look at it over 250k boxes have both NLA disabled and haven’t been patched for BlueKeep (so at least on or before May 2019).

D'après certaines sources, un initié de la société a déclaré que le coupable est bien un rançongiciel qui a réussi à endommager plusieurs fichiers sensibles situés sur les serveurs internes.