首页
论坛
专栏
课程

西班牙最大广播电台Cadena SER和最大托管提供商Everis同时遭遇勒索

红数位 发布于 红数位 2019-11-06 13:56


今天有两家西班牙大型公司受到勒索软件的打击。两种感染均在同一天发生,激发了人们对WannaCry爆发的记忆。



西班牙是英国之外最早的国家之一,早在2017年5月12日就首次发现了WannaCry勒索软件感染。当时受影响的是西班牙报纸El Mundo和互联网服务提供商Telefonica。


但是今天的感染还不是全球勒索软件爆发的一部分。在撰写本文时,到目前为止,只有两家公司受到了影响。


西班牙最大的托管服务提供商(MSP)埃弗里斯(Everis)的系统已受到勒索软件的感染,这是NTT Data Group旗下的IT咨询公司。不仅如此,还因为西班牙最大的广播电台Cadena SER(SociedadEspañolaRadiodifusión)遭受了类似攻击,他们也通过其网站上的消息承认了这一事件。



两家公司都告诉员工关闭计算机,并断开其网络与Internet的连接。


Everis是受影响最大的公司,因为该公司在18个国家/地区拥有超过24,500名员工。Everis的其他分支机构也受到了影响,因为据信勒索软件已通过公司的内部网络传播。


根据假定的Everis员工在社交媒体上发布的屏幕截图,击中IT公司的勒索软件是BitPaymer勒索软件的版本,BitPaymer勒索软件也袭击了法国电视台M6和德国自动化工具制造商Pilz。


图片:Alex Barredo(Twitter上的@somospostpc)



用于MSP攻击的BitPaymer

攻击开始后,埃弗里斯发出内部通知,称他们“正在埃弗里斯网络上遭受大规模病毒攻击。请关闭计算机。”


Everis补充说:“与客户之间以及办公室之间的网络已断开连接。我们将为您提供最新信息。由于标准的通信问题,请立即将消息直接发送给您的团队和同事。”



使用.3v3r1s扩展名的勒索软件对公司系统上的文件进行了加密,从而进一步暴露了针对MSP的这种攻击的针对性。


植入Everis加密系统中的赎金通知警告该公司不要泄露此事件,同时还向其提供“获取赎金数额”的联系方式。赎金记录中列出的电子邮件联系人是sydney.wiley@protonmail.com和evangelina.mathews@tutanota.com,但是这些针对每次攻击都会改变。


攻击者要求Everis支付75万欧元(835,923美元)的赎金,以获取解密密钥以解锁其文件,如bitcoin.es 所报道。



未知的勒索软件对无线电系统进行加密

如今,Everis并非一个人都受到勒索软件攻击的打击,西班牙最大的广播电台网络Cadena SER也遭到未知的勒索软件的打击。


Cadena SER  在今天发布的通知中说:“ SER在今天早晨遭受了勒索软件类型的计算机病毒文件加密器的攻击,该病毒已严重影响了其所有计算机系统  。”


在使用未知的勒索软件进行攻击之后,广播电台不得不断开其所有计算机与Internet的连接,并且目前正在马德里总部的设备帮助下继续活动。


Cadena SER补充说:“技术人员已经在努力逐步恢复每个工作站的本地编程。”


西班牙国土安全部(Departamento de Seguridad Nacional)也证实了勒索软件攻击,像西班牙的INCIBE(Instituto Nacional de Ciberseguridad)一样,影响了Cadena SER。


INCIBE当前正在帮助广播电台恢复其加密数据并使系统恢复在线状态。


可能的MSP下游攻击

勒索软件攻击者更常用的一种策略是针对MSP,  并使用其管理软件将勒索软件推向MSP的客户。


虽然如果这些是不相关的网络攻击它是不知道,网络安全顾问  Arnau EstebanellCastellví  暗示Everis可能已经确认。根据Castellví的一条推文,Orange切断了Everis对网络的访问,以防止勒索软件攻击影响到它们。


目前无法独立证实该声明。


BlueKeep可能在攻击中被利用

外媒从一名希望匿名的攻击者那里得知消息,BlueKeep漏洞与这些攻击有关。


此外,在光发现周末BlueKeep大量开采,有些人说[ 1,2 ],这个漏洞是在今天的勒索软件攻击利用对西班牙组织,但目前还没有明确的证据来支持这一理论。


安全专家Kevin Beaumont的蜜罐记录了BlueKeep的利用尝试,该蜜罐仅公开了通过远程桌面协议(RDP)用于远程协助连接的3389端口。


Beaumont今天还发现Everis有数百个直接暴露于Internet连接的服务器,这暗示了今天的勒索软件攻击中可能存在利用BlueKeep进行谣言的可能性。 



Castellví告诉外媒,虽然“目前尚未确认”,但Everis的内部网络故障可以通过利用BlueKeep或前一段时间修补的其他两个RDP漏洞来解释。


他补充说:“我认为最初的媒介可能是电子邮件。这就是西班牙国家安全中心所说的。” “但是在患者0之后,我也认为它是基于RDP的。如果不是,就没有解释为什么Everis内部网络崩溃的原因。”


目前尚不清楚BlueKeep是否确实参与其中。


西班牙当局立即作出反应

由于西班牙是WannaCry遭受重创的早期国家之一,因此该国的政府组织迅速做出了反应。


西班牙国家安全局在事件发生后数小时内发布了安全公告,警告公司改善网络安全措施,并敦促其他受害者向西班牙国家网络安全研究所INCIBE寻求帮助。


尽管没有类似WannaCry的勒索软件爆发的迹象,但这两次勒索软件感染对西班牙当地的商业环境产生了重大影响。许多本地公司使用Everis软件进行日常活动,有些人担心自己可能已被感染,因此选择关闭操作来检查系统。



网上还流传谣言,除了Everis之外,其他IT公司也受到了影响。由于不断进行的猜测,金融咨询公司毕马威(KPMG)的西班牙分支机构和软件巨头埃森哲(Accenture)都必须在今天早些时候在Twitter上发布声明,以确保客户没有受到感染,并且他们在正常运转。


你还可以看( 微信搜索关注:红数位,阅读更多 ):

勒索软件攻击学校致使美国拉斯克鲁塞斯地区计算机“全区关闭”

顶级法律案件管理TrialWorks遭勒索,律师事务所和律师无法访问法院文件

马来西亚邮政局:勒索软件破坏了内部系统和在线服务

南非最大城市约翰内斯堡市再次遭到勒索软件攻击

法国最大媒体控股M6集团宣布从勒索软件攻击中恢复

全球航运和电子商务巨头必能宝Pitney Bowes遭遇勒索攻击

警告:美国和澳大利亚数家医院被勒索软件击垮

全球第二大听力集团DEMANT被勒索直接损失达6亿人民币

全球军工百强德国莱茵金属惨遭恶意软件袭击,每周损失欲达三千多万

美国最大的广播电台之一安德康传播受勒索影响全美办事处

美国德克萨斯遭遇前所未有勒索攻击,涉及23家

南非最大电力公司City Power被勒索软件加密了数据库和应用程序



微信搜索关注:红数位,阅读更多

红数位,混迹安全圈,每日必看!

分享到:
最新评论 (0)
登录后即可评论