Varias Empresas Infectadas Con Ransomware (Cadena SER, Everis Y Prisa Radio)

La Cadena SER, Everis y Prisa Radio esufren un grave ciberataque que secuestra sus sistemas ha sufrido esta madrugada un ataque de ransomware (posiblemente Dridex2 o iEncrypt), cuyo objetivo es el cifrado de archivos, que ha tenido afectación generalizada de todos sus sistemas informáticos.

Otras compañías se han visto afectadas por el ciberataque aunque, de momento, solo SER, Prisa y Everis lo han confirmado de forma oficial. Se rumorea que podría haber otras empresas de diversa entidad afectadas por el problema, pero de momento no ha habido confirmación al respecto. A pesar de algunos rumores previos, tanto KPMG como Accenture han negado estar afectadas por el problema. También se habla de Orange (que ha negado el incidente) y Cajamar

Según informa el DSN, el ataque ha afectado "a empresas estratégicas en España", mientras que otras "han solicitado a sus empleados el apagado preventivo de los equipos y han bloqueado todo el correo entrante y la navegación en sus redes para evitar infecciones". 
El ataque recuerda al vivido a mediados de 2017 con Wannacry. Los primeros ataques confirmados de forma oficial los han sufrido la Cadena SER y otras emisoras de Prisa Radio, pero también varias consultoras tecnológicas, de las cuales Everis ha confirmado oficialmente estar afectada.

Es el mensaje interno que ha remitido Everis a sus empleados. La compañía confirma que ha enviado a sus trabajadores a casa hasta que puedan solventar la incidencia.
"Estamos sufriendo un ataque masivo de virus a la red de Everis. Por favor, mantengan los PC apagados".
En este caso, los archivos fueron cifrados con la extension .3v3r1s, lo cual podría hacer suponer que fue un ataque dirigido.

Según se ha podido confirmar con empleados de la SER, la mayoría de ordenadores están bloqueados y los empleados no pueden trabajar o lo tienen que hacer desde casa. Tampoco hay acceso a internet en la mayoría de terminales.

En el caso de PRISA, también ha informado a sus empleados:
"Prisa Radio ha sufrido esta madrugada un ataque de virus que ha tenido una afectación grave y generalizada de todos nuestros sistemas informáticos. Los técnicos especializados en este tipo de situaciones aconsejan encarecidamente la desconexión total de todos los sistemas con el fin de evitar la propagación del virus. Hablamos, por tanto, de una situación de extrema emergencia".

Indicadores de Compromiso (IOCs)

  • NO hay evidencia que se trate de BlueKeep (CVE-2019-0708)
  • Hash FileHash-SHA256
    • 8a87a1261603af4d976faa57e49ebdd8fd8317e9dd13bd36ff2599d1031f53ce
    • 037dbddeda76d7a1be68a2b3098feabfbf5400a53e2606f5a0e445deb2e42959
  • IPs
    • 5[.]100.251.106
    • 109[.]117.11
  • URL
    • hxxp://109[.]117.11/362611986ed4/page
    • hxxp://109[.]117.11:8000/
    • hxxp://109[.]117.11:8080/362611986ed4/page
    • hxxp://5[.]100.251.106:52057
    • hxxp://5[.]100.251.106:443/64.exe
  • Email
    • sydney.wiley[@]protonmail.com
    • evangelina.mathews[©]tutanota.com
Actualización 1: KPMG afirma que no ha sido infectada. Los atacantes estarían pidiendo 1,5 millones de Euros en concepto de rescate. Se habla también de que el ransomware sería iEncrypt, y los atacantes se habría n aprovechado de una vulnerabilidad 0-Day en el componente Bonjour Update de Windows que se usa para usar el MTP en conexiones móviles para realizar el ataque.
Ampliaremos...

Via: feedproxy.google.com
Varias Empresas Infectadas Con Ransomware (Cadena SER, Everis Y Prisa Radio) Varias Empresas Infectadas Con Ransomware (Cadena SER, Everis Y Prisa Radio) Reviewed by Unknown on 16:22 Rating: 5