Finastra ha confirmado que advirtió a sus clientes sobre un incidente de ciberseguridad después de que un actor malicioso comenzara a vender datos supuestamente robados en un foro de piratería.
Finastra es una empresa de software financiero que presta servicios a más de 8.000 instituciones en 130 países, incluidos 45 de los 50 bancos y cooperativas de crédito más grandes del mundo. La empresa emplea a 12.000 personas y reportó ingresos de 1.700 millones de dólares el año pasado.
El incidente de seguridad ocurrió el 7 de noviembre de 2024, cuando un atacante utilizó credenciales comprometidas para acceder a uno de los sistemas Secure File Transfer Platform (SFTP) de Finastra.
La compañía dice que su investigación hasta ahora, con la ayuda de expertos externos en ciberseguridad, no muestra evidencia de que la violación se haya extendido más allá de su plataforma SFTP.
Los servicios de software de la compañía incluyen soluciones de préstamos, procesamiento de pagos, plataformas bancarias y minoristas habilitadas en la nube y herramientas de gestión de riesgos comerciales.
Brian Krebs reportado por primera vez que Finastra sufrió una violación de seguridad ayer después de ver una notificación de violación de datos enviada a un individuo afectado.
Se cree que el ataque está vinculado a una publicación reciente en un foro de piratería, en la que un actor malicioso llamado «abyss0» afirmó haber vendido 400 GB de datos robados de Finastra.
Cuando se le preguntó sobre la publicación en el foro, un portavoz de Finastra no confirmó ni negó si los datos les pertenecían, solo le dijo a BleepingComputer que habían sufrido una violación de seguridad de alcance limitado y que actualmente estaban evaluando su impacto.
«El 7 de noviembre de 2024, el Centro de Operaciones de Seguridad (SOC) de Finastra detectó actividad sospechosa relacionada con una Plataforma Segura de Transferencia de Archivos (SFTP) alojada internamente que utilizamos para enviar archivos a ciertos clientes», dijo Finastra a BleepingComputer.
«Inmediatamente iniciamos una investigación en conjunto con una empresa de ciberseguridad externa y, como precaución, aislamos y contuvimos la plataforma. Este incidente se limitó a una sola plataforma y no hubo movimiento lateral dentro de la plataforma más allá de esto».
La compañía también aclaró que la plataforma SFTP comprometida no fue utilizada por todos sus clientes, ni era la plataforma predeterminada utilizada por Finastra para el intercambio de archivos.
Sin embargo, el impacto exacto y el alcance de esta infracción aún están bajo investigación y puede llevar algún tiempo determinar quién está afectado.
Aquellos que se consideren afectados serán contactados directamente, por lo que no se espera ninguna divulgación pública por parte de Finastra.
Vale la pena señalar que el actor de amenazas que publicó las muestras de datos a principios de este mes eliminó la publicación, por lo que no está claro si los datos se vendieron a un comprador o si «abyss0» estaba preocupado por esta publicidad repentina.
En marzo de 2020, Finastra sufrió otro importante incidente de ciberseguridad cuando fue atacada por actores de ransomware.
En ese momento, la empresa fintech se vio obligada a desconectar partes de su infraestructura de TI en respuesta a la amenaza, lo que provocó interrupciones en el servicio.
Aunque se desconocen los medios de acceso inicial, los informes de las plataformas de monitoreo de amenazas resaltaron la estrategia de gestión de vulnerabilidades de la compañía, señalando que estaba utilizando versiones anteriores de Pulse Secure VPN y servidores Citrix.
