4 nov. 2019

Varias empresas españolas infectadas con #Ransomware (Actualizado)

La Cadena SER, Everis y Prisa Radio esufren un grave ciberataque que secuestra sus sistemas ha sufrido esta madrugada un ataque de malware, posiblemente a través del troyano Dridex y luego con el ransomware iEncrypt o BitPaymer. El objetivo es el cifrado de archivos, que ha tenido afectación generalizada de todos los sistemas informáticos de las empresas mencionadas.

Durante el día se ha dicho que otras compañías se han visto afectadas por el ciberataque aunque, de momento, solo SER, Prisa y Everis lo han confirmado de forma oficial. Se rumorea que podría haber otras empresas de diversa entidad afectadas por el problema, pero de momento no ha habido confirmación al respecto. A pesar de algunos rumores previos, tanto KPMG como Accenture han negado estar afectadas por el problema. También se habla de Orange (que ha negado el incidente) y Cajamar

Según informa el DSN, el ataque ha afectado "a empresas estratégicas en España", mientras que otras "han solicitado a sus empleados el apagado preventivo de los equipos y han bloqueado todo el correo entrante y la navegación en sus redes para evitar infecciones". 
El ataque recuerda al vivido a mediados de 2017 con Wannacry. Los primeros ataques confirmados de forma oficial los han sufrido la Cadena SER y otras emisoras de Prisa Radio, pero también varias consultoras tecnológicas, de las cuales Everis ha confirmado oficialmente estar afectada.

Es el mensaje interno que ha remitido Everis a sus empleados. La compañía confirma que ha enviado a sus trabajadores a casa hasta que puedan solventar la incidencia.
"Estamos sufriendo un ataque masivo de virus a la red de Everis. Por favor, mantengan los PC apagados".
En este caso, los archivos fueron cifrados con la extension .3v3r1s, lo cual podría indicar que se trata de un ataque dirigido.

Según se ha podido confirmar con empleados de la SER, la mayoría de ordenadores están bloqueados y los empleados no pueden trabajar o lo tienen que hacer desde casa. Tampoco hay acceso a internet en la mayoría de terminales.

En el caso de PRISA, también ha informado a sus empleados:
"Prisa Radio ha sufrido esta madrugada un ataque de virus que ha tenido una afectación grave y generalizada de todos nuestros sistemas informáticos. Los técnicos especializados en este tipo de situaciones aconsejan encarecidamente la desconexión total de todos los sistemas con el fin de evitar la propagación del virus. Hablamos, por tanto, de una situación de extrema emergencia".

Indicadores de Compromiso (IOCs)

  • NO hay evidencia que se trate de BlueKeep (CVE-2019-0708)
  • Hashes involucrados
    • 8a87a1261603af4d976faa57e49ebdd8fd8317e9dd13bd36ff2599d1031f53ce
    • 037dbddeda76d7a1be68a2b3098feabfbf5400a53e2606f5a0e445deb2e42959
    • bd327754f879ff15b48fc86c741c4f546b9bbae5c1a5ac4c095df05df696ec4f (evrs.exe)
    • 1d778359ab155cb190b9f2a7086c3bcb4082aa195ff8f754dae2d665fd20aa05
    • 628c181e6b9797d8356e43066ae182a45e6c37dbee28d9093df8f0825c342d4c
    • a9db3444e9c50da5ce6845ccc116255c
    • c1a5725f45e6a35bd82852210e29f941
  • IPs y C&C
    • 5[.]100.251.106
    • 109[.]176.117.11
    • 45[.]129.96.9
    • 195[.]123.238.51
    • 195[.]123.213.19
    • 185[.]92.74.215 (Empire)
    •  
  • URLs
    • hxxp://109[.]176.117.11/362611986ed4/page
    • hxxp://109[.]176.117.11:8000/
    • hxxp://109[.]176.117.11:8080/362611986ed4/page
    • hxxp://5[.]100.251.106:52057
    • hxxp://5[.]100.251.106:443/64.exe
    • hxxps://esancendoc[.]esan[.]edu​​[.]pe/
    • hxxps://click[.]clickanalytics208[.]com/s_code[.]js?cid=240&v=73a55f6de3dee2a751c3
  • Emails
    • sydney.wiley[@]protonmail.com
    • evangelina.mathews[@]tutanota.com
  • Hashes Chrome.Update.3f61f4.js
    • MD5: a9db3444e9c50da5ce6845ccc116255c
    • MD5: c1a5725f45e6a35icsoft2852210e29f941
  • Hashes de Dridex
    • SHA2: 628c181e6b9797d8356e43066ae182a45e6c37dbee28d9093df8f0825c342d4c
    • SHA2: 1d778359ab155cb190b9f2a7086c3bcb4082aa195ff8f754dae2d665fd20aa05
  • Hashes de iEncrypt
    • SHA256: bd327754f879ff15b48fc86c741c4f546b9bbae5c1a5ac4c095df05df696ec4f - (evrs.exe)

Matriz de Att&CK

Actualización 1: KPMG afirma que no ha sido infectada. Los atacantes estarían pidiendo 1,5 millones de Euros en concepto de rescate. Se habla también de que el ransomware sería iEncrypt, y los atacantes se habría n aprovechado de una vulnerabilidad 0-Day en el componente Bonjour Update de Windows que se usa para usar el MTP en conexiones móviles para realizar el ataque.

Actualización 2:  Según las capturas de pantalla publicadas en las redes sociales por los supuestos empleados de Everis, el ransomware que golpeó a la empresa de TI es una versión del ransomware BitPaymer que también afectó a la estación de televisión francesa M6 y al fabricante alemán de herramientas de automatización Pilz.

Actualización 3: El Departamento de Seguridad Nacional de España emitió un aviso de seguridad a las pocas horas de los incidentes, advirtiendo a las empresas que mejoren las medidas de seguridad cibernética e instando a cualquier otra víctima a comunicarse con INCIBE.

Actualización 4: BitPaymer/iEncrypt no es nuevo y ha estado atacando a compañías en los Estados Unidos, tanto públicas como privadas en los últimos meses.
  • Todos los ataques siguen un patrón similar. La infiltración inicial generalmente se obtiene a través de correos electrónicos de phishing que descargan el malware Dridex.
  • Una vez que los atacantes tienen un punto de apoyo en el sistema, realizan una etapa de reconocimiento completo y roban las credenciales de Active Directory (AD).
  • Luego, durante el fin de semana (generalmente los sábados), implementan el ransomware en la red ya comprometida.
  • BitPaymer agrega su extensión de archivo a los archivos cifrados: ".<nombre_de_empresa>" , junto con una nota de rescate con el mismo nombre de archivo y la extensión ". <nombre_de_empresa> _readme".
Actualización 5: de acuerdo a un archivo subido recientemente a VirusTotal, se puede leer las fases del ataque a Everis
  1. Un usuario de la empresa afectada accede a un sitio web comprometido donde se modificó el código fuente para mostrar una actualización falsa del navegador y descargar un archivo.
  2. El archivo es un código JavaScript (JS) que infecta el dispositivo con un malware C2C categorizado como Dridex. El sitio web comprometido simula una actualización falsa del navegador: hxxps://esancendoc[.]esan[.]edu ​[.]pe/. Este JavaScript (Chrome.Update.3f61f4.js) crea archivos EXE adicionales. Este script es un Dropper que descarga "crhome.update.3f61f4.exe". Luego se crea y ejecuta un archivo EXE adicional "d0409052256c6efc85b155f58cc03f70.exe"
  3. Una vez que los atacantes controlen el dispositivo infectado, instalan el framework de PowerShell llamado Empire. Con Empire en el dispositivo infectado, el atacante enumera la red y obtiene credenciales del caché del dispositivo infectado. Con esto, se ven diferentes instalaciones de Empire en diferentes hosts y servidores.
  4. Los atacantes distribuyen una familia de ransomware llamada "BitPaymer / IEncrypt" a dispositivos de la empresa, a través de servidores y servidores comprometidos.
  5. El atacante realiza el movimiento lateral Empire y a través de la herramienta de SysInternals psexesvc.exe.
  6. El ransomware BitPaymer / IEncrypt se distribuye desde los activos comprometidos a los puntos finales afectados.
  7. Más información.
Cristian de la Redacción de Segu-Info en base a fuentes varias

7 comentarios:

  1. Hola. Agradezco enormemente la informacion, pero agradeceria URL's e IP's completas por favor.

    Saludos.

    ResponderEliminar
  2. En la segunda dirección IP falta un octeto (o un punto).

    ResponderEliminar
  3. buenas noches, tienen las firmas de los ataques?

    ResponderEliminar
  4. solo para sumar contexto, al incidente: Everis Aeroespacial, Defensa y Seguridad ha firmado un acuerdo bilateral con la Agencia de Comunicaciones e Información de la OTAN (NCI, por sus siglas en inglés) para compartir información sobre ciberseguridad.

    https://www.infodefensa.com/es/2019/10/24/noticia-everis-compartira-informacion-sobre-ciberseguridad.html

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!