Telefónica pateix un atac ransomware
Taula de continguts:
Avui ens assabentem d'un atac a la xarxa interna de Telefónica força important que ens confirmen fonts internes a la compañía.También aquest atac podria estar afectant Vodafone, Santander i Capgemini. Telefonica estava dient per megafonia als seus empleats que apaguin els equips per evitar que el Ransomware s'estengui per tota la seva xarxa.
Telefónica pateix un atac Ransomware
No se sap amb exactitud que està passant, però a Telefónica ha donat la veu d'alarma als seus empleats i alguns empleats o personal està filtrant informació sobre els fets a les xarxes socials. Sabem que és un atac bastant seriós a la xarxa interna de l'operadora ja que van desconnectar els equips de la xarxa i els van apagar, a més van donar la veu d'alerta als Datacenters que usin la seva xarxa perquè estiguin a l'tant.
Al principi el problema només afecta a Telefónica Espanya i no només a la seu central sinó també a les filials.
WanaDecryptor V2 és el nom de l'ransomware que esta afectant a Telefónica ia altres companyies. WanaDecrypor fa servir l'execució remota de comandament aprofitant-se de la vulnerabilitat de l'protocol SMB que fa que el malware es distribueixi a la resta de màquines Windows d'aquesta xarxa.
Els sistemes afectats són Windows en diferents versions com Windows Server 2008/2012/2016, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows Vista SP2. Segons aquest informe, la vulnerabilitat aprofitada en el ciberatac va ser inclosa en un butlletí de seguretat de Microsoft el passat 14 de març, i hi ha un document de suport per poder solucionar el problema que pots veure aquí.
El que veieu en aquesta foto és el comunicat que llanço telefònica als seus empleats per evitar que se segueixi expandint el ransomware. Hem trobat diverses anàlisis sobre aquest Malware en Hybrid Anàlisi i en Virus Total.
On s'instal·la WanaDecryptor V2?
Comença modificant els arxius d'aquestes rutes:
C: \ WINDOWS \ system32 \ msctfime.ime
C: \ WINDOWS \ win.ini
C: \ docume ~ 1 \ User \ LOCALS ~ 1 \ Temp \ c.wnry
C: \
C: \ docume ~ 1 \ User \ LOCALS ~ 1 \ Temp \ msg \ m_English.wnry
Modifica o Afegeix les següents claus als registres:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ IMM
HKEY_USERS \ S-1-5-21-1547161642-507921405-839522115-1004 \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ Layers
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ CTF
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ CTF \ SystemShared
HKEY_USERS \ S-1-5-21-1547161642-507921405-839522115-1004
HKEY_LOCAL_MACHINE \ Software \ WanaCrypt0r
HKEY_CURRENT_USER \ Software \ WanaCrypt0r
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList \ S-1-5-21-1547161642-507921405-839522115-1004
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Time Zones \ W. Europe Standard Time
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Time Zones \ W. Europe Standard Time \ Dynamic DST
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ CTF \ LangBarAddIn \
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ CTF \ LangBarAddIn \
Més informacaión a Malwr
Un investigador deté l'atac ransomware amb un registre de domini
Un investigador deté l'atac ransomware amb un registre de domini. Descobreix la forma en què deté el ransomware WannaCry aquest investigador.
La fórmula 1 evita un atac ransomware
La Fórmula 1 evita un atac ransomware. Descobreix com ha aconseguit la Fórmula 1 evitar ser víctima d'un atac ransomware.
Badrabbit: l'atac ransomware s'estén per Europa
BadRabbit: L'atac ransomware s'estén per Europa. Descobreix més sobre aquest ransomware que afecta empreses a Rússia i Ucraïna.
