For nylig ransomware angrebet to store spanske virksomheder. Begge infektioner forekom på samme dag, forårsager en kortvarig panik i den spanske Internet segmentet grundet memoriess af WannaCry epidemi to år siden.
jegn Spanien, maj 12, 2017, en af de første WannaCry ransomware virus blev opdaget. Så under et angreb fik spanske avis verden og internetudbyderen Telefonica.Indtil nu, kun to selskaber har lidt af det “frisk” ransomware.
Everis er et konsulentfirma, der ejes af NTT Data Group og Cadena SER, Spaniens største radionetværk.
Begge selskaber beordret medarbejderne til at afbryde computere fra internettet.
Everis har 24,500 medarbejdere i 18 lande. Andre Everis søsterselskaber er også blevet påvirket, da det menes, at ransomware har spredt sig via virksomhedens interne netværk.
“Netværket er blevet afbrudt med kunder og mellem kontorerne. Vi vil holde dig opdateret. Vær venlig, sende hurtigst muligt budskabet direkte til dine teams og kolleger på grund af standard kommunikationsproblemer”, - siger meddelelse Everis sikkerhedstjeneste.
Ifølge skærmbilleder, der er udstationeret på sociale netværk påståede Everis medarbejdere, den ransomware der angreb IT firma er en version af den BitPaymer ransomware, der også for nylig angreb den franske tv-station M6 og den tyske automatisering producenten Pilz.
Den afskærmning besked, der blev installeret på Everis krypterede systemer, advarer selskabet mod at afsløre hændelsen, og giver kontaktoplysninger “for at opnå den mængde af afskærmning.”
Angribere bad Everis om en løsesum på 750,000 euro ($835,923) at opnå en dekryptering nøglen til at låse deres filer.
Den ransomware stamme, der ramte Cadena SER er endnu ikke offentligt kendt.
“Teknikerne arbejder allerede for en gradvis genopretning af den lokale programmering af hver af deres stationer”, - Cadena SER informeret.
Fordi Spanien var et af de lande, der tidligt og hårdt ramt af WannaCry, landets statslige organisationer reagerede hurtigt.
Den spanske ministerium for national sikkerhed (Department of Homeland Security) bekræftede angrebet og udstedte sikkerhedsanbefalinger inden for få timer efter episoderne, advarsel selskaber i forbedret internetsikkerhed og tilskynde andre ofre at henvende sig til INCIBE (National Cyber Security Institute).
Selv om der er ingen tegn på en alvorlig ransomware epidemi ligesom WannaCry, disse hændelser har haft en stor indvirkning på spansk virksomhed i dag. Den spanske kontor finansiel rådgivning selskab KPMG og softwaregiganten Accenture tweeted at overbevise kunderne om, at de ikke er smittet, og at de fungerer korrekt.
I lyset af weekendens massive udnyttelse af bluekeep, nogle forskere tyder på, at den samme sårbarhed blev brugt i dagens ransomware angreb på spanske organisationer.
Læs også: Metasploit udviklere offentliggøre udnytte til BlueKeep sårbarhed
Forsøg på at operere BlueKeep blev registreret ved forsker Kevin Beaumont, og bruge port 3389, som er fremstillet til fjerntliggende hjælpetilslutninger via Remote Desktop Protocol (RDP).
Beaumont opdagede også i dag, at Everis har hundredvis af servere direkte forbundet til internetforbindelser, hentyder til sandsynligheden for, at rygter om at bruge BlueKeep i dagens ransomware angreb er ikke uden grund. Den samme antagelse forklarer, hvorfor den interne Everis netværk ikke fungerer.
