{"id":224579,"date":"2019-11-05T06:42:09","date_gmt":"2019-11-05T05:42:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224579"},"modified":"2024-10-04T11:19:25","modified_gmt":"2024-10-04T09:19:25","slug":"spanien-ransomware-befall-bei-everis-und-cadena-ser","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/11\/05\/spanien-ransomware-befall-bei-everis-und-cadena-ser\/","title":{"rendered":"Spanien: Ransomware-Befall bei Everis und Cadena SER"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>In Spanien werden seit gestern gleich zwei Firmen durch einen Ransomware-Befall geplagt. Es handelt sich um Everis, ein IT-Beratungsunternehmen der NTT Data Group, und um Cadena SER, Spaniens gr\u00f6\u00dfter Radiosender.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/ce870f06fa754fbfbbf6e46b8b4fa07e\" width=\"1\" height=\"1\"\/>Ich bin bereits gestern Nachmittag per Twitter auf entsprechende Meldungen gesto\u00dfen. Sicherheitsforscher Kevin Beaumont hat \u00fcber einen Tweet auf die Infektion (per Ryuk Ransomware) hingewiesen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Reports are coming in of a ransomware attack on Everis, a telco in Spain. Reportedly Ryuk. <a href=\"https:\/\/t.co\/oijEwtS7HJ\">https:\/\/t.co\/oijEwtS7HJ<\/a><\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1191315421556879360?ref_src=twsrc%5Etfw\">November 4, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Sp\u00e4ter hat Beaumont dann in einem Tweet einen Screenshot mit der Infektionsmeldung eines Evis-Angestellten gepostet.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">pic supposedly posted by an <a href=\"https:\/\/twitter.com\/hashtag\/everis?src=hash&amp;ref_src=twsrc%5Etfw\">#everis<\/a> employee <a href=\"https:\/\/t.co\/fJaOtYmrTy\">pic.twitter.com\/fJaOtYmrTy<\/a><\/p>\n<p>\u2014 Alex Barredo  (@somospostpc) <a href=\"https:\/\/twitter.com\/somospostpc\/status\/1191303959585198080?ref_src=twsrc%5Etfw\">November 4, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Sp\u00e4ter hat er dann noch berichtet, dass Spaniens National Cybersecurity Institute offline sei \u2013 ich konnte aber gestern auf <a href=\"https:\/\/www.incibe.es\/\" target=\"_blank\" rel=\"noopener noreferrer\">deren Webseite<\/a> zugreifen. Vermutlich war es nur eine \u00dcberlastung des Web-Servers, da dort seit dem 4. November 2019 ein <a href=\"https:\/\/web.archive.org\/web\/20230101190302\/https:\/\/www.incibe.es\/sala-prensa\/notas-prensa\/nota-informativa-ransomware-empresas\" target=\"_blank\" rel=\"noopener noreferrer\">kurzer Hinweis<\/a> zu Ransomware in Unternehmen (ohne Details) zu finden ist. Sp\u00e4ter berichtete dann Catalin Cimpanu, dass auch der spanische Radiosender Cadena SER von Ransomware betroffen ist. <\/p>\n<h2>Noch einige Details<\/h2>\n<p>Sowohl <a href=\"https:\/\/web.archive.org\/web\/20210303035612\/https:\/\/www.zdnet.com\/article\/ransomware-hits-spanish-companies-sparking-wannacry-panic\/\" target=\"_blank\" rel=\"noopener noreferrer\">ZDNet<\/a> als auch <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/ransomware-attacks-hit-everis-and-spains-largest-radio-network\/\" target=\"_blank\" rel=\"noopener noreferrer\">Bleeping Computer<\/a> haben inzwischen Beitr\u00e4ge mit einigen Details zu den beiden Ransomware-F\u00e4llen ver\u00f6ffentlicht. Nachdem der Angriff bemerkt wurde, benachrichtigte Everis intern seine Benutzer \u00fcber \"einem massiven Virenangriff auf das Everis-Netzwerk\" und bat, die Leute die Maschinen herunter zu fahren. Everis hat wohl 24,500 Angestellte in 18 L\u00e4ndern. Auf Twitter gibt es diese Information von einem Sicherheits-Konsultant.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"es\" dir=\"ltr\">Esta parece ser la nota que everis ha mandado a sus trabajadores. <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\">#ransomware<\/a> <a href=\"https:\/\/t.co\/1UOT8jDO4s\">pic.twitter.com\/1UOT8jDO4s<\/a><\/p>\n<p>\u2014 Arnau Estebanell Castellv\u00ed (@ArnauEstebanell) <a href=\"https:\/\/twitter.com\/ArnauEstebanell\/status\/1191315201838194689?ref_src=twsrc%5Etfw\">November 4, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Auch der spanische Radiosender Cadena SER best\u00e4tigte auf <a href=\"https:\/\/cadenaser.com\/ser\/2019\/11\/04\/sociedad\/1572862102_968725.html\" target=\"_blank\" rel=\"noopener noreferrer\">seiner Webseite<\/a>, dass er von Ransomware betroffen ist. Die Ransomware verschl\u00fcsselte Dateien auf den Systemen des Unternehmens Evis mit der Erweiterung .3v3r1s, d.h. die Ransomware wurde gezielte Art f\u00fcr dieses Angriffs gegen den Anbieter modifiziert. <\/p>\n<p>Die L\u00f6segeldforderung in H\u00f6he von 750.000 Euro, die auf den verschl\u00fcsselten&nbsp; Everis-Systemen platziert wurde, warnt das Unternehmen vor Ver\u00f6ffentlichung des Vorfalls und teilt die Kontaktdaten zum Zahlen des L\u00f6segelds an (aufgef\u00fchrt sind die spezifischen E-Mail-Adressen <em>sydney.wiley@protonmail.com <\/em>und <em>evangelina.mathews@tutanota.com<\/em>, aber diese \u00e4ndern sich mit jedem gezielten Angriff). Everis wurde durch die Ransomware BitPaymer infiziert. Das scheint auch die Ransomware-Familie zu sein, mit der Pilz infiziert wurde (siehe <a href=\"https:\/\/borncity.com\/blog\/2019\/10\/16\/erfolgreicher-cyberangriff-auf-die-pilz-gmbh-co-kg\/\">Erfolgreicher Cyberangriff auf die Pilz GmbH &amp; Co. KG<\/a>).<\/p>\n<p>Welches Ransomware den Radiosender Cadena SER infiziert hat, ist noch unklar. Nach dem Angriff mit der unbekannten Ransomware trennte die Radiostation alle ihre Computer vom Internet trennen und setzt ihre T\u00e4tigkeit mit Hilfe von Ger\u00e4ten in ihrer Madrider Zentrale fort. Die spanischen Beh\u00f6rden haben <a href=\"https:\/\/www.dsn.gob.es\/es\/actualidad\/sala-prensa\/ciberataques-ransomware-04-noviembre-2019\" target=\"_blank\" rel=\"noopener noreferrer\">diese Verlautbarung<\/a> ver\u00f6ffentlicht, die aber keine Details enth\u00e4lt. <\/p>\n<h2>Ist BlueKeep beteiligt?<\/h2>\n<p>Bleeping Computer schreibt, dass eine mit den Vorf\u00e4llen betraute Quelle, die anonym bleiben m\u00f6chte, davon berichtete, dass die BlueKeep-Schwachstelle bei einem Angriff ausgenutzt worden sei. Erst gestern hatte ich im Artikel <a href=\"https:\/\/borncity.com\/blog\/2019\/11\/04\/windows-erste-bluekeep-angriffe-gesichtet\/\">Windows: Erste BlueKeep-Angriffe gesichtet<\/a> berichtet, dass erste Angriffsversuche bekannt geworden sind. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Oh boy, these guys appear to have hundreds of RDP servers directly on the internet HT <a href=\"https:\/\/twitter.com\/binaryedgeio?ref_src=twsrc%5Etfw\">@binaryedgeio<\/a> data <a href=\"https:\/\/t.co\/d7wGjP4J6S\">pic.twitter.com\/d7wGjP4J6S<\/a><\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1191319262796951552?ref_src=twsrc%5Etfw\">November 4, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>  <\/p>\n<p>Sicherheitsforscher Kevin Beaumont schreibt, dass er hunderte von Evis RDP-Servern gefunden habe, die per Internet erreichbar sind. Cyber-Security Consultant Arnau Estebanell Castellv\u00ed geht aber davon aus, dass die Infektion per E-Mail-Anhang erfolgte. M\u00f6glicherweise wurde dann die BlueKeep-Schwachstelle f\u00fcr die interne Verbreitung im Evis-Netzwerk genutzt \u2013 aber das ist Spekulation.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/><\/strong><a href=\"https:\/\/borncity.com\/blog\/2019\/06\/04\/how-to-bluekeep-check-fr-windows\/\">How To: BlueKeep-Check f\u00fcr Windows<\/a><br \/><a href=\"https:\/\/web.archive.org\/web\/20190726134042\/https:\/\/borncity.com\/blog\/2019\/07\/25\/5-vor-12-malware-mit-bluekeep-scanner-und-exploits\/\">5 vor 12: Malware mit BlueKeep-Scanner und Exploits<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/09\/07\/windows-bluekeep-metasploit-ffentlich-verfgbar\/\">Windows: Bluekeep-Metasploit \u00f6ffentlich verf\u00fcgbar<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/11\/04\/windows-erste-bluekeep-angriffe-gesichtet\/\">Windows: Erste BlueKeep-Angriffe gesichtet<\/a> <br \/><a href=\"https:\/\/borncity.com\/blog\/2019\/10\/16\/erfolgreicher-cyberangriff-auf-die-pilz-gmbh-co-kg\/\">Erfolgreicher Cyberangriff auf die Pilz GmbH &amp; Co. KG<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>In Spanien werden seit gestern gleich zwei Firmen durch einen Ransomware-Befall geplagt. Es handelt sich um Everis, ein IT-Beratungsunternehmen der NTT Data Group, und um Cadena SER, Spaniens gr\u00f6\u00dfter Radiosender.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-224579","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224579","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=224579"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224579\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=224579"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=224579"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=224579"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}