Um ataque ransomware a grande escala está agora em curso afetando grandes companhias em Espanha.

Diversas empresas espanholas estão esta manhã a sofrer um sério ataque ransomware que recorda, em parte, o pesadelo vivido em meados de 2017 com o Wannacry.

Os primeiros ataques confirmados oficialmente foram sofridos pelo Cadena Ser, mas também outras consultoras como Everis e Accenture.

“Estamos sufriendo un ataque masivo de virus a la red de Everis. Por favor, mantengan los PCs apagados”.

 

Segundo fontes da Everis, a empresa enviou os seus trabalhadores para casa para evitar danos maiores, e como meio de resolverem o problema o mais rápido possível.

 

Segundo Alex Barredo através do seu Twitter:

Computers and network down for over an hour. Vector looks like Microsoft software, could be Windows could be whatever in house stuff they got. Idk 

 

A mensagem deixada pelo ransomware pode ser observada abaixo:

 

Os atacantes estão a utilizar duas contas  de email, inclusive uma do protonmail, como forma de receberem o resgate das vítimas.

Também uma chave base64 é gerada para que os atacantes consigam identificar a chave para decifrar o conteúdo cifrado pelo próprio ransomware.

Uma declaração do Departamento de Segurança Nacional do governo da Espanha confirmou que, durante a manhã “, ocorreram infeções ransomware para empresas estratégicas na Espanha“.

O ataque pede às pessoas afetadas que paguem um resgate que varia entre US $300 e US $600 para recuperar o acesso aos dados.

De acordo com a declaração do governo, “não é um ataque direcionado contra essas empresas, mas um ataque lançado em massa que afeta equipas vulneráveis em todo o mundo“.

Uma das medidas recomendadas é desligar o equipamento da rede para evitar novas infeções.

Segundo fontes anónimas, foi-nos informado que também em portugal já se estão a tomar medidas preventivas para evitar potenciais danos causados por esta vaga de ataques. Algumas contas de funcionários de companhias como a banca foram bloqueadas para prevenir potenciais infeções e a sua propagação na rede.

 

Até ao monento, ainda não existem detalhes sobre a ameaça. No entanto, este ataque poderá estar relacionado com os recentes ataques utilizando a falha BlueKeep que aproveita uma vulnerabilidade no  Remote Desktop Protocol presente em sistemas Windows.

Ainda de acordo com a ransom note deixada pelo malware, esta parece similar a ransom note deixada pelo BitPaymer ou pelo ransomware #IEncrypt.

BitPaymer ransom note template:

 

#IEncrypt ransomware note:

 

Também o investigador Gérman Fernández disse na sua conta do Twitter que o vetor de ataque utilizado pelos criminosos, para além do provável BlueKeep, pode ter sido uma vulnerabilidade de dia zero no componente “Bonjour Updater” incluído no iTues/iCloud para Windows; um dos componentes potencialmente utilizado pelas companhias afetadas.

Importa realçar que estes detalhes ainda não foram confirmados por nenhuma das companhias afetadas.

 

Atualização – 04 novembro 2019 / 14 horas

Segundo o que foi apurado, o sample do malware utilizado nestes ataques é o seguinte:

https://www.virustotal.com/gui/file/e75622957decf1594c2cbe726ff0aaba4a509dab7b77721d3db16977f224ae4a/behavior/Dr.Web%20vxCube

 

De acordo com a analise da sandbox online, parece-se tratar-se da ameaça ryuk, um ransomware que se propaga muito facilmente.

Os artefactos contido no malware não deixam qualquer dúvida quanto à sua origem:

 

Todavia, a ransom note que circula atualmente na Internet parece não ser a utilizada pelo ryuk.

(Em atualização…)

 

IOCs

[email protected]
[email protected]
e75622957decf1594c2cbe726ff0aaba4a509dab7b77721d3db16977f224ae4a