Everis, Cadena Ser y varias empresas españolas, afectadas por una oleada de ransomware #BitPaymer

Dos grandes empresas españolas han sido afectadas por el ransomware hoy. Ambas infecciones ocurrieron el mismo día, provocando recuerdos del brote de WannaCry.

España fue uno de los primeros países junto con el Reino Unido, donde las infecciones de ransomware WannaCry se detectaron por primera vez el 12 de mayo de 2017. En ese momento, el periódico español El Mundo y el proveedor de servicios de Internet Telefónica se vieron afectados.

Pero las infecciones actuales no son parte de un brote global de ransomware. Solo dos compañías han sido impactadas hasta el momento, al momento de escribir esto.

El primero es Everis, una firma de consultoría de TI propiedad de NTT Data Group. El segundo es Cadena SER, la red de radio más grande de España, que también admitió el incidente a través de un mensaje en su sitio web. Un portavoz de Everis no respondió de inmediato a una solicitud de comentarios.

Ambas compañías han dicho a los empleados que desconecten las computadoras de Internet.

Everis es el que más se vio afectado, ya que la compañía tiene más de 24,500 empleados en 18 países. Otras sucursales de Everis también se vieron afectadas, ya que se cree que el ransomware se propagó a través de la red interna de la compañía.

Según las capturas de pantalla publicadas en las redes sociales por los supuestos empleados de Everis, el ransomware que golpeó a la empresa de TI es una versión del ransomware BitPaymer que también afectó a la estación de televisión francesa M6 y al fabricante alemán de herramientas de automatización Pilz .

bitpaymer-everis.png770×480 394 KB

Imagen: Alex Barredo (@somospostpc en Twitter)

LAS AUTORIDADES ESPAÑOLAS REACCIONARON DE INMEDIATO

Debido a que España fue uno de los países que sufrió WannaCry temprano y duro, las organizaciones gubernamentales del país reaccionaron rápidamente.

El Departamento de Seguridad Nacional de España emitió un aviso de seguridad a las pocas horas de los incidentes, advirtiendo a las empresas que mejoren las medidas de seguridad cibernética e instando a cualquier otra víctima a comunicarse con INCIBE , el Instituto Nacional de Seguridad Cibernética de España.

Aunque no hay signos de un brote de ransomware similar a WannaCry, las dos infecciones de ransomware tuvieron un gran impacto en la escena empresarial local española.

BitPaymer / iEncrypt ransomware no es nuevo y ha estado atacando a compañías en los Estados Unidos, tanto públicas como privadas en los últimos meses… ahora parece haber encontrado nuevas victimas en varias empresas españolas.

• Todos los ataques siguen un patrón similar. La infiltración inicial generalmente se obtiene a través de correos electrónicos de phishing que entregan Dridex.

• Una vez que los atacantes tienen un punto de apoyo en el sistema, realizan una etapa de reconocimiento completo y roban las credenciales de Active Directory ( AD).

• Luego, durante el fin de semana (generalmente los sábados), implementan el ransomware en la red ya comprometida.

• BitPaymer agrega su extensión de archivo a los archivos cifrados - ’. <Nombre_de_empresa>' , junto con una nota de rescate con el mismo nombre de archivo y - ’. <Nombre_de_empresa> _readme’ extensión.

Los atacantes están utilizando para ofuscar y compilar un cargador completamente personalizado el día del ataque, generalmente solo 2-3 horas antes del ransomware despliegue. Esto hace que sea poco probable que las herramientas antivirus y EDR lo detecten hasta que sea demasiado tarde.

Esta sincronización cuidadosamente planificada les permite propagar el ransomware a servidores que funcionan las 24 horas, los 7 días de la semana y luego propagarse a medida que los primeros empleados que regresan al trabajo desde el inicio de sesión del fin de semana a la red comprometida.

Salu2

Este ransomware solo ataca a Empresas o los usuarios de Internet tambien nos vemos afectados?.

Tanto que se les advierte mil veces a las grandes empresas que mejoren su seguridad, tengan copias de seguridad y ni caso hacen, luego lloran cuando suceden estas cosas…

En este caso al igual que otros ransomwares como Ryuk, SamSam o Sodinokibi, apuntan específicamente a empresas u organizaciones tanto publicas como privadas…

Bitpaymer mas específicamente, se implementa de forma manual, una vez que los atacantes ya tienen los accesos y en donde luego pueden customizar tanto la nota de rescate como la extension de los archivos con el nombre de la empresa victima, por ej este otro nuevo que tweete el día de hoy:

https://twitter.com/MarceloRivero/status/1192507368388677633

Ahora bien, el malware moderno es cada vez mas inteligente y sus infecciones iniciales van a determinar en base a los datos de tu IP, y recursos del PC, si es usuario final u empresa, para continuar con la infeccion con uno u otro malware, tal como se puede ver en la imagen de abajo:

960×535 54.9 KB

Este se cree que es el caso utilizado para infectar a la empresa española Everis… en donde la infección inicial nace de un sitio web previamente infectado, que al ser visitado por un usuario de la empresa, detecto su equipo empresarial y en lugar de poner una rata o spyware, lanzo Dridex para reunir la data necesaria para luego infectar manualmente durante el fin de semana con BitPaymer ransomware.

Salu2