Everis , una de las empresas de consultoría de TI más grandes de España, sufrió un ataque de ransomware dirigido el lunes, lo que obligó a la compañía a cerrar todos sus sistemas informáticos hasta que el problema se resuelva por completo.
El ransomware es un virus informático que encripta archivos en un sistema infectado hasta que se paga un rescate.
Según varios medios locales, Everis informó a sus empleados sobre el devastador ataque generalizado de ransomware, diciendo:
"Estamos sufriendo un ataque masivo de virus en la red Everis. Por favor, mantenga las PC apagadas. La red se ha desconectado con clientes y entre oficinas. Lo mantendremos actualizado".
"Por favor, transfiera urgentemente el mensaje directamente a sus equipos y colegas debido a problemas de comunicación estándar".
Según un consultor español de Ciberseguridad, el malware cifró archivos en las computadoras de Everis con un nombre de extensión similar al nombre de la compañía, es decir, " .3v3r1s ", lo que sugiere que el ataque fue muy selectivo.
En este momento, se desconoce qué familia específica de ransomware se usó para atacar a la compañía, pero los atacantes detrás del ataque, según se informa, exigieron € 750,000 (~ USD 835,000) en rescate por el descifrador, informó un sitio de bitcoin.es.
Sin embargo, considerando la naturaleza altamente dirigida del ataque, el fundador de VirusTotal en un tweet sugiere que el tipo de ransomware podría ser BitPaymer / IEncrypt , el mismo malware que recientemente se descubrió que explota una vulnerabilidad de día cero en el software iTunes e iCloud de Apple
Aquí está el mensaje de ransomware que se mostró en las pantallas de las computadoras infectadas en toda la compañía:
Hola Everis, tu red fue pirateada y encriptada.
No hay software de descifrado gratuito disponible en la web.
Envíenos un correo electrónico a sydney.wiley@protonmail.com o evangelina.mathews@tutanota.com para obtener la cantidad del rescate.
Según los informes, algunas otras empresas españolas y europeas también se han visto afectadas por un malware de ransomware similar durante el mismo período, del cual la red nacional de radio La Cadena SER ha confirmado el ataque cibernético.
"La cadena SER ha sufrido esta mañana un ataque de un virus informático del tipo ransomware, encriptador de archivos, que ha tenido una afectación grave y generalizada de todos sus sistemas informáticos", dijo la compañía.
"Siguiendo el protocolo establecido en los ataques cibernéticos, el SER ha visto la necesidad de desconectar todos sus sistemas informáticos operativos".
La compañía también informó que sus "técnicos ya están trabajando para la recuperación progresiva de la programación local de cada una de sus estaciones".
Aunque no está confirmado, algunas personas familiarizadas con el incidente también sospechan que los atacantes podrían haber utilizado la vulnerabilidad BlueKeep RDP para comprometer los servidores de la compañía, cuya primera actividad de explotación masiva se vio ayer en la naturaleza ayer en una campaña separada.
Mientras tanto, el Departamento de Seguridad Nacional de España también emitió una advertencia sobre el ciberataque en curso y recomendó a los usuarios que sigan prácticas básicas de seguridad como mantener sus sistemas actualizados y tener una copia de seguridad adecuada de sus datos importantes.
