Everisuna de las mayores empresas de consultoría informática de España, sufrió un ataque de ransomware dirigido el lunes, lo que obligó a la empresa a apagar todos sus sistemas informáticos hasta que el problema se resuelva por completo.
El ransomware es un virus informático que cifra los archivos en un sistema infectado hasta que se paga un rescate.
Según varios medios locales, Everis informó a sus empleados sobre el devastador ataque generalizado de ransomware, diciendo:
«Estamos sufriendo un ataque de virus masivo en la red de Everis. Mantenga las PC apagadas. La red se ha desconectado con clientes y entre oficinas. Los mantendremos informados».
«Por favor, transfiera urgentemente el mensaje directamente a sus equipos y colegas debido a problemas de comunicación estándar».
Según consultor de ciberseguridad Arnau Estebanell Castellvíel malware cifraba los archivos de los ordenadores de Everis con un nombre de extensión parecido al nombre de la empresa, es decir, «.3v3r1s«lo que sugiere que el ataque fue altamente dirigido.
En este momento, se desconoce qué familia específica de ransomware se usó para atacar a la empresa, pero los atacantes detrás del ataque exigieron 750 000 € (~ 835 000 USD) como rescate por el descifrador, informó un miembro de la empresa al sitio bitcoin.es.
Sin embargo, considerando la naturaleza altamente dirigida del ataque, el fundador de VirusTotal en un tweet sugiere el tipo de ransomware podría ser BitPaymer/Cifrarel mismo malware que se descubrió recientemente explotando una vulnerabilidad de día cero en el software iTunes e iCloud de Apple.
Aquí está el ransomware mensaje que se mostraba en las pantallas de los ordenadores infectados de toda la empresa:
Hola Everis, tu red fue hackeada y encriptada.
No hay ningún software de descifrado gratuito disponible en la web.
Envíenos un correo electrónico a sydney.wiley@protonmail.com o evangelina.mathews@tutanota.com para obtener el monto del rescate.
Mantener nuestros contactos seguros.
La divulgación puede conducir a la imposibilidad de descifrado.
¿Y lo que es más? Parece que Everis no es la única empresa que ha sufrido un ataque de ransomware esta mañana.
Según se informa, algunas otras empresas españolas y europeas también se han visto afectadas por un malware ransomware similar durante el mismo período, de las cuales la red de radio nacional La Cadena SER ha confirmado el ciberataque.
“La cadena SER ha sufrido esta mañana un ataque de un virus informático del tipo ransomware, file encrypter, que ha tenido una afectación grave y generalizada en todos sus sistemas informáticos”, ha señalado la empresa.
“Siguiendo el protocolo establecido en ciberataques, la SER se ha visto en la necesidad de desconectar todos sus sistemas informáticos operativos”.
La compañía también ha informado de que sus «técnicos ya están trabajando para la recuperación progresiva de la programación local de cada una de sus emisoras».
Al momento de escribir este artículo, no está claro si los piratas informáticos detrás de estos ataques de ransomware son los mismos, cómo se infiltró el malware en las empresas en primer lugar y si contenía capacidades de gusanos para propagarse con éxito a través de la red.
Aunque no está confirmado, algunas personas familiarizadas con el incidente también sospechan que los atacantes podrían haber utilizado la vulnerabilidad BlueKeep RDP para comprometer los servidores de la empresa, cuya primera actividad de explotación masiva se detectó ayer en una campaña separada.
The Hacker News está en contacto con algunos de los empleados de la empresa objetivo y lo actualizará con más información sobre el incidente en breve.
Mientras tanto, el Departamento de Seguridad Nacional de España también emitió una advertencia sobre el ciberataque en curso y recomendó a los usuarios que sigan prácticas básicas de seguridad, como mantener sus sistemas actualizados y tener una copia de seguridad adecuada de sus datos importantes.