In Spanien werden seit gestern gleich zwei Firmen durch einen Ransomware-Befall geplagt. Es handelt sich um Everis, ein IT-Beratungsunternehmen der NTT Data Group, und um Cadena SER, Spaniens größter Radiosender.
Anzeige
Ich bin bereits gestern Nachmittag per Twitter auf entsprechende Meldungen gestoßen. Sicherheitsforscher Kevin Beaumont hat über einen Tweet auf die Infektion (per Ryuk Ransomware) hingewiesen.
Reports are coming in of a ransomware attack on Everis, a telco in Spain. Reportedly Ryuk. https://t.co/oijEwtS7HJ
— Kevin Beaumont (@GossiTheDog) November 4, 2019
Später hat Beaumont dann in einem Tweet einen Screenshot mit der Infektionsmeldung eines Evis-Angestellten gepostet.
pic supposedly posted by an #everis employee pic.twitter.com/fJaOtYmrTy
— Alex Barredo (@somospostpc) November 4, 2019
Anzeige
Später hat er dann noch berichtet, dass Spaniens National Cybersecurity Institute offline sei – ich konnte aber gestern auf deren Webseite zugreifen. Vermutlich war es nur eine Überlastung des Web-Servers, da dort seit dem 4. November 2019 ein kurzer Hinweis zu Ransomware in Unternehmen (ohne Details) zu finden ist. Später berichtete dann Catalin Cimpanu, dass auch der spanische Radiosender Cadena SER von Ransomware betroffen ist.
Noch einige Details
Sowohl ZDNet als auch Bleeping Computer haben inzwischen Beiträge mit einigen Details zu den beiden Ransomware-Fällen veröffentlicht. Nachdem der Angriff bemerkt wurde, benachrichtigte Everis intern seine Benutzer über "einem massiven Virenangriff auf das Everis-Netzwerk" und bat, die Leute die Maschinen herunter zu fahren. Everis hat wohl 24,500 Angestellte in 18 Ländern. Auf Twitter gibt es diese Information von einem Sicherheits-Konsultant.
Esta parece ser la nota que everis ha mandado a sus trabajadores. #ransomware pic.twitter.com/1UOT8jDO4s
— Arnau Estebanell Castellví (@ArnauEstebanell) November 4, 2019
Auch der spanische Radiosender Cadena SER bestätigte auf seiner Webseite, dass er von Ransomware betroffen ist. Die Ransomware verschlüsselte Dateien auf den Systemen des Unternehmens Evis mit der Erweiterung .3v3r1s, d.h. die Ransomware wurde gezielte Art für dieses Angriffs gegen den Anbieter modifiziert.
Die Lösegeldforderung in Höhe von 750.000 Euro, die auf den verschlüsselten Everis-Systemen platziert wurde, warnt das Unternehmen vor Veröffentlichung des Vorfalls und teilt die Kontaktdaten zum Zahlen des Lösegelds an (aufgeführt sind die spezifischen E-Mail-Adressen sydney.wiley@protonmail.com und evangelina.mathews@tutanota.com, aber diese ändern sich mit jedem gezielten Angriff). Everis wurde durch die Ransomware BitPaymer infiziert. Das scheint auch die Ransomware-Familie zu sein, mit der Pilz infiziert wurde (siehe Erfolgreicher Cyberangriff auf die Pilz GmbH & Co. KG).
Welches Ransomware den Radiosender Cadena SER infiziert hat, ist noch unklar. Nach dem Angriff mit der unbekannten Ransomware trennte die Radiostation alle ihre Computer vom Internet trennen und setzt ihre Tätigkeit mit Hilfe von Geräten in ihrer Madrider Zentrale fort. Die spanischen Behörden haben diese Verlautbarung veröffentlicht, die aber keine Details enthält.
Ist BlueKeep beteiligt?
Bleeping Computer schreibt, dass eine mit den Vorfällen betraute Quelle, die anonym bleiben möchte, davon berichtete, dass die BlueKeep-Schwachstelle bei einem Angriff ausgenutzt worden sei. Erst gestern hatte ich im Artikel Windows: Erste BlueKeep-Angriffe gesichtet berichtet, dass erste Angriffsversuche bekannt geworden sind.
Oh boy, these guys appear to have hundreds of RDP servers directly on the internet HT @binaryedgeio data pic.twitter.com/d7wGjP4J6S
— Kevin Beaumont (@GossiTheDog) November 4, 2019
Sicherheitsforscher Kevin Beaumont schreibt, dass er hunderte von Evis RDP-Servern gefunden habe, die per Internet erreichbar sind. Cyber-Security Consultant Arnau Estebanell Castellví geht aber davon aus, dass die Infektion per E-Mail-Anhang erfolgte. Möglicherweise wurde dann die BlueKeep-Schwachstelle für die interne Verbreitung im Evis-Netzwerk genutzt – aber das ist Spekulation.
Ähnliche Artikel:
How To: BlueKeep-Check für Windows
5 vor 12: Malware mit BlueKeep-Scanner und Exploits
Windows: Bluekeep-Metasploit öffentlich verfügbar
Windows: Erste BlueKeep-Angriffe gesichtet
Erfolgreicher Cyberangriff auf die Pilz GmbH & Co. KG
Anzeige