Il colosso del fintech Finastra sta indagando su una presunta violazione dei dati che ha coinvolto il suo sistema interno di trasferimento file. L'incidente è emerso quando un cybercriminale ha iniziato a vendere oltre 400 gigabyte di dati presumibilmente rubati dalla società. Finastra, con sede a Londra, serve 45 delle 50 maggiori banche mondiali e ha segnalato l'accaduto ai suoi clienti. L'azienda, che opera in 42 paesi e genera ricavi per 1,9 miliardi di dollari, è al centro delle operazioni bancarie globali, gestendo un'enorme quantità di file digitali per transazioni bancarie e bonifici.

Attività sospette rilevate

L'8 novembre 2024, Finastra ha informato i clienti di attività sospette rilevate il giorno prima su uno dei suoi sistemi interni. Un attore delle minacce aveva già iniziato a vendere grandi volumi di file rubati, comunicando la violazione sul dark web. Nonostante la gravità della situazione, Finastra ha rassicurato i clienti, affermando che non c'è stato impatto diretto sulle operazioni o sui sistemi dei clienti. Tuttavia, è stato confermato che l'intruso è riuscito a esfiltrare una quantità non specificata di dati.

Finastra ha risposto attivamente alle domande dei clienti, mantenendoli aggiornati sui progressi dell'indagine. L'azienda ha indicato che la causa iniziale potrebbe essere stata il compromesso delle credenziali. Inoltre, ha condiviso Indicatori di Compromissione (IOC) con i team di sicurezza dei clienti per fornire aggiornamenti sulle indagini.

Attività del cybercriminale abyss0

Nel frattempo, un cybercriminale noto come "abyss0" ha pubblicato su BreachForums di aver rubato file appartenenti a grandi clienti bancari di Finastra. Sebbene non sia stato specificato un prezzo di partenza per l'asta dei dati, abyss0 ha invitato gli interessati a contattarlo su Telegram. Immagini raccolte dalla piattaforma Ke-la.com mostrano che abyss0 aveva già tentato di vendere i dati il 31 ottobre, ma senza rivelare il nome di Finastra.

La sequenza temporale suggerisce che abyss0 abbia avuto accesso al sistema di condivisione file di Finastra almeno una settimana prima della rilevazione ufficiale. Tuttavia, l'account Telegram di abyss0 è stato sospeso o cancellato, e il suo profilo su BreachForums è scomparso, insieme a tutte le discussioni di vendita.

Precedente attacco ransomware

Finastra aveva già subito un attacco ransomware nel marzo 2020, riuscendo a recuperare senza pagare il riscatto. Questo nuovo incidente sottolinea i rischi persistenti nel settore fintech e l'importanza di robuste misure di sicurezza per proteggere i dati sensibili dei clienti.