La empresa de tecnología financiera. finastra está investigando el presunto robo a gran escala de información de su plataforma interna de transferencia de archivos, según ha sabido KrebsOnSecurity. Finastra, que proporciona software y servicios a 45 de los 50 bancos más grandes del mundo, notificó a sus clientes del incidente de seguridad después de que un ciberdelincuente comenzara a vender más de 400 gigabytes de datos supuestamente robados de la empresa.
Finastra, con sede en Londres, tiene oficinas en 42 países y reportó ingresos de 1.900 millones de dólares el año pasado. La empresa emplea a más de 7.000 personas y presta servicios a aproximadamente 8.100 instituciones financieras en todo el mundo. Una gran parte del negocio diario de Finastra implica el procesamiento de enormes volúmenes de archivos digitales que contienen instrucciones de transferencias bancarias y electrónicas en nombre de sus clientes.
El 8 de noviembre de 2024, Finastra informó a los clientes de instituciones financieras que el 7 de noviembre, su equipo de seguridad detectó actividad sospechosa en la plataforma de transferencia de archivos alojada internamente de Finastra. Finastra también dijo a sus clientes que alguien había comenzado a vender grandes volúmenes de archivos supuestamente robados de sus sistemas.
«El 8 de noviembre, un actor malicioso se comunicó en la web oscura afirmando haber extraído datos de esta plataforma», se lee en la divulgación de Finastra, cuya copia fue compartida por una fuente de una de las empresas clientes.
«Actualmente no hay ningún impacto directo en las operaciones de los clientes, los sistemas de nuestros clientes o la capacidad de Finastra para atender a nuestros clientes», continúa el aviso. «Hemos implementado una plataforma alternativa segura para compartir archivos para garantizar la continuidad y las investigaciones están en curso».
Pero su aviso al cliente dice que el intruso logró extraer o «exfiltrar» una cantidad no especificada de datos del cliente.
«El actor malicioso no implementó malware ni manipuló los archivos del cliente en el entorno», afirma el aviso. “Además, no se accedió ni se accedió a ningún archivo distinto de los archivos exfiltrados. Seguimos centrados en determinar el alcance y la naturaleza de los datos contenidos en los archivos exfiltrados.
En una declaración escrita respondiendo a preguntas sobre el incidente, Finastra dijo que estaba «respondiendo activa y transparentemente a las preguntas de nuestros clientes y manteniéndolos informados sobre lo que estamos haciendo y lo que aún no sabemos a partir de los datos publicados». La compañía también compartió una comunicación actualizada con sus clientes, en la que señaló que mientras aún estaba investigando la causa raíz, «la evidencia inicial indica que las credenciales estaban comprometidas».
«Además, compartimos indicadores de compromiso (IOC) y nuestro CISO habló directamente con los equipos de seguridad de nuestros clientes para brindar actualizaciones sobre la investigación y nuestro proceso de descubrimiento electrónico», continuó el comunicado. Aquí está el resto de lo que compartieron:
“En términos de eDiscovery, analizamos datos para determinar qué clientes específicos se han visto afectados, al mismo tiempo que evaluamos y comunicamos cuáles de nuestros productos no dependen de la versión específica de la plataforma SFTP que se vio comprometida. La plataforma SFTP correspondiente no es utilizada por todos los clientes y no es la plataforma predeterminada utilizada por Finastra o sus clientes para intercambiar archivos de datos asociados con una amplia gama de nuestros productos. Por lo tanto, estamos trabajando lo más rápido posible para excluir a los clientes afectados. Sin embargo, como puedes imaginar, este es un proceso que requiere mucho tiempo, ya que muchos grandes clientes operan diferentes productos Finastra en diferentes áreas de su negocio. Priorizamos la precisión y la transparencia en nuestras comunicaciones.
Es importante tener en cuenta que nos comunicaremos y trabajaremos directamente con cualquier cliente que se considere afectado.
El 8 de noviembre, un ciberdelincuente utilizó el apodo “abismo0» publicado en la comunidad de cibercrimen de habla inglesa Foros de infracción que habían robado archivos pertenecientes a algunos de los clientes bancarios más importantes de Finastra. Data Auction no especificó un precio inicial o de “cómprelo ahora”, pero dijo que los compradores interesados deberían comunicarse con ellos a través de Telegram.
El hilo de ventas de abyss0 del 7 de noviembre en BreachForums incluyó numerosas capturas de pantalla que mostraban listados de directorios de archivos de varios clientes de Finastra. Imagen: Ke-la.com.
Basado en capturas de pantalla recopiladas por la plataforma de ciberinteligencia Ke-la.comabyss0 intentó por primera vez vender los datos supuestamente robados a Finastra el 31 de octubre, pero ese hilo de ventas anterior no nombró a la empresa víctima. Sin embargo, se refiere a muchos de los mismos bancos nombrados como clientes de Finastra en la publicación del 8 de noviembre en BreachForums.
La publicación original del 31 de octubre de abyss0, en la que anunciaron la venta de datos de varios grandes bancos clientes de una gran empresa de software financiero. Imagen: Ke-la.com.
El hilo de ventas de octubre también incluyó un precio inicial: 20.000 dólares. El 3 de noviembre, ese precio se había reducido a 10.000 dólares. Una revisión de las publicaciones de abyss0 en BreachForums revela que este usuario se ha ofrecido a vender bases de datos robadas en varias docenas de otras infracciones anunciadas durante los últimos seis meses.
El cronograma aparente de esta violación sugiere que abyss0 obtuvo acceso al sistema de intercambio de archivos de Finastra al menos una semana antes de que la compañía afirmara haber detectado por primera vez actividad sospechosa, y que la actividad del 7 de noviembre citada por Finastra podría ser el regreso del intruso para exfiltrar más datos.
Quizás abyss0 encontró un comprador que pagó su jubilación anticipada. Quizás nunca lo sepamos, porque esta persona efectivamente está desaparecida. La cuenta de Telegram que abyss0 enumera en su hilo de ventas parece haber sido suspendida o eliminada. Del mismo modo, la cuenta de abyss0 en BreachForums ya no existe y desde entonces todos sus hilos de ventas han desaparecido.
Parece poco probable que Telegram y BreachForums le dieran el arranque a este usuario al mismo tiempo. La explicación más simple es que algo asustó tanto al abismo que abandonaron una serie de oportunidades de ventas pendientes, además de una personalidad cibercriminal bien mantenida.
En marzo de 2020, Finastra sufrió un ataque de ransomware que dejó de lado a varios de sus negocios principales durante varios días. De acuerdo a Informe BloombergFinastra pudo recuperarse de este incidente sin pagar rescate.
Esta es una historia en desarrollo. Las actualizaciones se anotarán con marcas de tiempo. Si tiene información adicional sobre este incidente, comuníquese con krebsonsecurity @ gmail.com o protonmail.com.
