Diversas empresas espanholas estão esta manhã a sofrer um sério ataque ransomware que recorda, em parte, o pesadelo vivido em meados de 2017 com o Wannacry.
Os primeiros ataques confirmados oficialmente foram sofridos pelo Cadena Ser, mas também outras consultoras como Everis e Accenture.
“Estamos sufriendo un ataque masivo de virus a la red de Everis. Por favor, mantengan los PCs apagados”.
Segundo fontes da Everis, a empresa enviou os seus trabalhadores para casa para evitar danos maiores, e como meio de resolverem o problema o mais rápido possível.
pic supposedly posted by an #everis employee pic.twitter.com/fJaOtYmrTy
— Alex Barredo 📉 (@somospostpc) November 4, 2019
Segundo Alex Barredo através do seu Twitter:
Computers and network down for over an hour. Vector looks like Microsoft software, could be Windows could be whatever in house stuff they got. Idk
A mensagem deixada pelo ransomware pode ser observada abaixo:
Os atacantes estão a utilizar duas contas de email, inclusive uma do protonmail, como forma de receberem o resgate das vítimas.
Também uma chave base64 é gerada para que os atacantes consigam identificar a chave para decifrar o conteúdo cifrado pelo próprio ransomware.
Uma declaração do Departamento de Segurança Nacional do governo da Espanha confirmou que, durante a manhã “, ocorreram infeções ransomware para empresas estratégicas na Espanha“.
O ataque pede às pessoas afetadas que paguem um resgate que varia entre US $300 e US $600 para recuperar o acesso aos dados.
De acordo com a declaração do governo, “não é um ataque direcionado contra essas empresas, mas um ataque lançado em massa que afeta equipas vulneráveis em todo o mundo“.
Uma das medidas recomendadas é desligar o equipamento da rede para evitar novas infeções.
Segundo fontes anónimas, foi-nos informado que também em portugal já se estão a tomar medidas preventivas para evitar potenciais danos causados por esta vaga de ataques. Algumas contas de funcionários de companhias como a banca foram bloqueadas para prevenir potenciais infeções e a sua propagação na rede.
Até ao monento, ainda não existem detalhes sobre a ameaça. No entanto, este ataque poderá estar relacionado com os recentes ataques utilizando a falha BlueKeep que aproveita uma vulnerabilidade no Remote Desktop Protocol presente em sistemas Windows.
Ainda de acordo com a ransom note deixada pelo malware, esta parece similar a ransom note deixada pelo BitPaymer ou pelo ransomware #IEncrypt.
BitPaymer ransom note template:
#IEncrypt ransomware note:
#IEncrypt #Ransomware submitted to ID Ransomware with email addresses “[email protected]” and “[email protected]” pic.twitter.com/FB1kFJAYr7
— Michael Gillespie (@demonslay335) November 30, 2018
Também o investigador Gérman Fernández disse na sua conta do Twitter que o vetor de ataque utilizado pelos criminosos, para além do provável BlueKeep, pode ter sido uma vulnerabilidade de dia zero no componente “Bonjour Updater” incluído no iTues/iCloud para Windows; um dos componentes potencialmente utilizado pelas companhias afetadas.
Múltiples incidentes por #Ransomware en España 🇪🇸 empresas como Everis, Accenture, La Ser y KPMG afectadas. Posible #iEncrypt a través de vulnerabilidad 0day en componentet “Bonjour Updater” incluído en iTunes/iCloud para Windows. Parcha ya!!! pic.twitter.com/Qjm6FActgk
— Germán Fernández 🇨🇱 (@1ZRR4H) November 4, 2019
Importa realçar que estes detalhes ainda não foram confirmados por nenhuma das companhias afetadas.
Atualização – 04 novembro 2019 / 14 horas
Segundo o que foi apurado, o sample do malware utilizado nestes ataques é o seguinte:
De acordo com a analise da sandbox online, parece-se tratar-se da ameaça ryuk, um ransomware que se propaga muito facilmente.
Os artefactos contido no malware não deixam qualquer dúvida quanto à sua origem:
Todavia, a ransom note que circula atualmente na Internet parece não ser a utilizada pelo ryuk.
(Em atualização…)
IOCs
[email protected]
[email protected]
e75622957decf1594c2cbe726ff0aaba4a509dab7b77721d3db16977f224ae4a