Varias empresas españolas afectadas por un importante ataque de ransomware

Everis, uno de los mayores proveedores de servicios administrados (MSP) sufrió en la jornada de ayer un importante ataque con ransomware que dejó sus sistemas inoperantes, de la misma forma que la cadena Ser, la radio más importante de España.

Aunque la empresa ha tardado en reconocer los hechos, lo cierto es que fuentes contrastadas han verificado que sus sistemas han sido afectados por el ransowmare BitPaymer. Estos son los dominios confirmados hasta la fecha (se cree que todos):

http://los40.com 
http://cadenaser.com 
http://everis.com 
http://everis.es 
http://premioseveris.pe 
http://premioseveris.com.co 
http://premioseveris.com.ar 
http://fundacioneveris.com 

BitPaymer azota a empresas españolas: Everis, Accenture y Cadena Ser

Tras el comienzo del ataque con ransowmare, Everis envió una nota informativa a los trabajadores de la empresa afirmando:

Estamos sufriendo un ataque masivo con virus en la red de Everis. Por favor, mantengan los PC’s apagados. Se ha desconectado la red con clientes y entre oficinas. Les mantendremos informados. Por favor, trasladen urgentemente el mensaje directamente a sus equipos y compañeros debido a los problemas de comunicación estándar.

El ransomware utilizado para cifrar los archivos de los equipos de la empresa utiliza extensión .3v3r1s, dejando entrever una clara planificación hacia este objetivo.

En cuanto a la ransom note o nota de pago, en ella se advierte a la compañía de graves consecuencias en caso de que filtren la identidad de los agresores. También se suministran detalles sobre como realizar el pago, siendo las direcciones de email:

• sydney.wiley@protonmail.com
• evangelina.mathews@tutanota.com

El importe solicitado por los atacantes es de nada menos que 750000 €, que aunque pueda parecer mucho dinero realmente queda lejos de las cantidades que han tenido que satisfacer otras entidades en tiempos recientes, con cuantías de varios millones de Euros.

pic supposedly posted by an #everis employee pic.twitter.com/fJaOtYmrTy

— Alex Barredo 📉 (@somospostpc) November 4, 2019

Muestra desconocida de ransomware afecta a Cadena Ser

Apaerte de Everis, la Cadena Ser (parte del grupo Prisa y la radio más importante en España) también ha sufrido un ciberataque durante el mismo período. En este caso se desconoce el malware que ha cifrado los documentos.

Los repsonsables de TI en la empresa dieron instrucciones inmediatas para desconectar los equipos de la red tras conocerse el incidente.

La Cadena SER ha sufrido esta madrugada un ataque de virus informático del tipo ransomware, cuyo objetivo es el cifrado de ficheros y archivos, que ha tenido afectación generalizada de todos sus sistemas informáticos. […] Siguiendo el protocolo establecido en ciberataques, la SER se ha visto en la necesidad de desconectar todos sus sistemas informáticos operativos.

Los técnicos han estado desde hace horas trabajando en la recuperación de los equipos informáticos, aunque la sede central ha garantizado la estabilidad en las emisiones de radio.

Tanto INCIBE como el Departamento de Seguridad Nacional han confirmado el incidente y están ayudando a la empresa a recuperar la normalidad.

BlueKeep podría ser un vector de entrada

Según afirman desde BleepingComputer -una fuente cerrada- estos ciberataques habrían implicado el uso de un exploit aprovechando la vulnerabilidad BlueKeep recientemente descubierta y parcheada, pero no en muchos equipos. No en vano, se ha visto una utilización masiva de BlueKeep durante el fin de semana.

El exploit de BlueKeep ha sido rastreado durante estos últimos 3 días por el experto Kevin Beaumont (mediante Honeypots que exponen el puerto 3389/RDP). También, como muestra el siguiente tweet, Beaumont ha descubierto que Everis contaba con cientos de equipos con su RDP expuesto a la red WAN (internet).

Oh boy, these guys appear to have hundreds of RDP servers directly on the internet HT @binaryedgeio data pic.twitter.com/d7wGjP4J6S

— Kevin Beaumont (@GossiTheDog) November 4, 2019

El vector inicial del ataque (desde donde se descargó el payload o carga útil) seguramente fue el email. Posteriormente, pudo haberse utilizado alguna vulnerabilidad como Bluekeep o bien otras similares descubiertas meses antes.

Modo paranoia:ON

Como siempre en este tipo de casos mediáticos y que implican a MSP (Proveedores de Servicios Administrados) se ha extendido una especie de histeria coelctiva -justificada, por cierto- por cuanto los ciberdelincuentes normalmente buscan que el proveedor de servicios acabe contagiando a sus decenas de clientes.

Así, por ejemplo, empresas como Orange, DXC y otros MSPs han tenido que cortar accesos y federación de dominios con Everis como medidas de prevención. No vaya a ser… La sombra de Wannacry es muy alargada.

Más información sobre BitPaymer en Symantec. También un excelente análisis en CfrowdStrike.