Uma empresa de tecnologia financeira Finastra está investigando alegações de um grande roubo de dados de seu recurso interno de transferência de arquivos, descobriu KrebsOnSecurity. A Finastra, que fornece software e serviços para 45 dos 50 maiores bancos do mundo, notificou clientes sobre um incidente de segurança depois que um hacker começou a vender mais de 400 gigabytes de dados supostamente roubados da empresa.
A Finastra, com sede em Londres, tem escritórios em 42 países e reportou receitas de 1,9 mil milhões de dólares no ano passado. A empresa emprega mais de 7.000 pessoas e atende aproximadamente 8.100 instituições financeiras em todo o mundo. Uma grande parte dos negócios diários da Finastra envolve o processamento de grandes volumes de arquivos digitais contendo instruções de transferência bancária e bancária em nome de seus clientes.
No dia 8 de novembro de 2024, a Finastra informou aos clientes da instituição financeira que no dia 08 de novembro de 2024. 7, sua equipe de segurança detectou atividades suspeitas na plataforma de transferência de arquivos hospedada internamente na Finastra. A Finastra também disse aos clientes que alguém começou a vender um grande número de arquivos supostamente roubados de seus sistemas.
“Em 8 de novembro, um ator de ameaça comunicou-se na dark web alegando ter dados extraídos desta plataforma”, diz a divulgação da Finastra, cuja cópia foi compartilhada por uma fonte de uma das empresas clientes.
“Não há impacto direto no desempenho do cliente, nos planos de nossos clientes ou na capacidade da Finastra de atender nossos clientes neste momento”, continua o aviso. “Usamos outra plataforma segura de compartilhamento de arquivos para garantir a continuidade e a investigação está em andamento.”
Mas a sua notificação aos clientes indica que o hacker conseguiu extrair ou “exfiltrar” um volume não especificado de dados de clientes.
“O autor da ameaça não usou malware nem violou nenhum arquivo de cliente no site”, dizia a notificação. “Além disso, nenhum arquivo é visualizado ou acessado além daqueles que foram filtrados. Ainda estamos focados em determinar o escopo e o tipo de dados contidos nos arquivos classificados.”
Numa declaração escrita em resposta a perguntas sobre o incidente, a Finastra disse que “respondeu de forma ativa e transparente às perguntas dos nossos clientes e informou-os sobre o que estávamos a fazer e não sabíamos das informações apresentadas”. A empresa também compartilhou uma comunicação atualizada com seus clientes, dizendo que embora ainda esteja investigando a causa, “as evidências iniciais apontam para credenciais comprometidas”.
“Além disso, temos compartilhado Indicadores de Compromisso (IOCs) e nosso CISO tem falado diretamente com as equipes de segurança de nossos clientes para fornecer atualizações sobre as investigações e nosso processo de eDiscovery”, continuou o comunicado. Aqui está o que eles compartilharam:
“Em termos de eDiscovery, analisamos os dados para determinar quais clientes específicos foram afetados, ao mesmo tempo que verificamos e comunicamos quais dos nossos produtos que não dependem de uma versão específica da plataforma SFTP foram comprometidos. A plataforma SFTP afetada não é usada por todos os clientes e não é a plataforma padrão usada pela Finastra ou seus clientes para trocar arquivos de dados associados ao nosso amplo conjunto de produtos, por isso estamos trabalhando o mais rápido possível para liberar os clientes afetados. No entanto, como você pode imaginar, este é um processo demorado porque temos muitos clientes grandes que usam diferentes produtos Finastra em diferentes partes dos seus negócios. Priorizamos precisão e transparência em nossas comunicações.
É importante ressaltar que, para quaisquer clientes que pareçam ser afetados, entraremos em contato e trabalharemos diretamente com eles”.
Em novembro 8, um hacker usando o apelido “no abismo0” postado na comunidade de crimes cibernéticos de língua inglesa Fóruns de violação que roubaram os arquivos de alguns dos principais clientes bancários da Finastra. O leilão de dados não especificou o preço inicial ou “compre agora”, mas disse que os compradores interessados devem contatá-los pelo Telegram.
Tópico de vendas da abyss0 para novembro. 7 no BreachForums inclui várias capturas de tela mostrando diretórios de arquivos para vários clientes Finastra. Foto: Ke-la.com.
De acordo com capturas de tela coletadas pela plataforma de inteligência cibernética Ke-la.com, kawalasha0 tentou pela primeira vez vender dados supostamente roubados da Finastra em 31 de outubro, mas o tópico de vendas anterior não mencionou o nome da empresa vítima. No entanto, referiu-se a muitos dos mesmos bancos nomeados como clientes da Finastra numa publicação datada de novembro de 2011. 8 em BreachForums.
A postagem original de 31 de outubro é de lasha0, onde anunciam a venda de dados para vários grandes bancos clientes de uma grande empresa de software financeiro. Foto: Ke-la.com.
O tópico de vendas de outubro também postou um preço inicial: US$ 20.000. Em 3 de novembro, esse preço foi reduzido para US$ 10.000. Uma análise das postagens de abyss0 no BreachForums revela que esse usuário se ofereceu para vender dados roubados de várias outras violações que foram anunciadas nos últimos seis meses.
O aparente cronograma da violação sugere que a Valasha0 obteve acesso ao sistema de compartilhamento de arquivos da Finastra pelo menos uma semana antes de a empresa afirmar ter detectado pela primeira vez atividades suspeitas, e que a data de novembro 7 mencionado por Finastra pode ser um hacker voltando para extrair mais dados.
Talvez abyss0 tenha encontrado um comprador que pagou pela aposentadoria antecipada. Podemos não saber, porque esta pessoa desapareceu efetivamente. Uma conta do Telegram identificada como abyss0 em sua lista de vendas parece ter sido suspensa ou excluída. Da mesma forma, a conta do abyss0 no BreachForums desapareceu e todos os seus tópicos de vendas desapareceram.
Parece improvável que tanto o Telegram quanto o BreachForums tivessem inicializado este usuário ao mesmo tempo. A explicação mais simples é que alguém enlouqueceu o suficiente para jogar fora uma série de oportunidades de vendas pendentes, além de crimes cibernéticos bem executados.
Em março de 2020, a Finastra foi atacada por um ransomware que deixou de lado vários negócios importantes da empresa por dias. De acordo com um relatório da Bloomberg, a Finastra conseguiu se recuperar desse incidente sem pagar resgate.
Esta é uma história em desenvolvimento. As atualizações serão anotadas com carimbos de data/hora. Se você tiver mais informações sobre este incidente, entre em contato com krebsonsecurity @ gmail.com ou protonmail.com.
