El pasado lunes 4 de noviembre de 2019 se detectaron varios incidentes de seguridad que afectan a varias empresas españolas (Everis y Grupo Prisa). Estos incidentes están relacionados con campañas de ransomware cuyo objetivo es el cifrado de archivos y petición de rescate.

En la madrugada del día 04-11-2019 Everis, La Cadena Ser que pertenece al Grupo Prisa y otras compañías sufren un ciberataque [1] en sus sistemas informáticos por un virus de tipo Ransomware. La operativa de Everis se ve afectada desde entonces y la Cadena Ser desconecta sus sistemas informáticos [2]  garantizando desde la sede central en Madrid la continuidad de la emisión con equipos autónomos.

A primera hora de la mañana Everis envía un correo electrónico a todos sus empleados indicando “Estamos sufriendo un ataque masivo de virus a la red de Everis. Por favor, mantengan los PC’s apagados …”, no ofreció ningún detalle técnico, La Cadena Ser tampoco ofreció información técnica relacionada.

La información que se va haciendo pública a lo largo de la jornada tanto a través de medios de comunicación, foros especializados, comunidad de seguridad y fuentes internas era bastante difusa, con rumores de que podrían estar utilizándose vulnerabilidades públicas recientes que afectan al Sistema Operativo Windows o Microsoft Teams para realizar el movimiento lateral, comienza a hablarse de un nuevo ataque tipo WannaCry, esta información está basada en rumores y posibles hipótesis.

BleepingComputer fue uno de los primeros en publicar [3] información relacionada con el incidente, relacionan el ciberataque a Everis con el ransomware BitPaymer [4]. También comienzan a ofrecer información de coste económico, Bitcoin.es escribe [5] sobre la suma económica a afrontar para el rescate tecnológico, Grupo Prisa debería afrontar un coste de 1.5M€, Everis de 750K€.

Por otro lado, el Departamento de Seguridad Nacional (DSN) publicó [6] una noticia informando del ataque a la Cadena Ser, es la primera fuente institucional que da información sobre el ciberataque.

El ransomware Ryuk está relacionado con el ciberataque dirigido a Grupo Prisa y otras empresas estratégicas. Ryuk se ha desplegado activamente a través de la campaña previa de Emotet.

Las plataformas de seguridad online comienzan durante el día 04-11-2019 a aportar información del malware relacionado con el ciberataque. Virustotal [7] tiene accesible el análisis de un ejecutable subido desde España relacionado con ransomware Bitpaymer desplegado en Everis, el análisis hace referencia a ficheros con extensión “.3v3r1s”. El ransomware Bitpaymer relacionado con el ciberataque a la compañía Everis está clasificado por algunas casas antivirus como Emotet.

Una vez que el malware dirigido a Everis es activado en el sistema, se ofrece un mensaje con información de contacto con dos cuentas de correo electrónico para realizar el pago por el rescate, sydney.wiley[@]protonmail[.]com y evangelina.mathews[@]tutanota[.]com.

A las 17:00 horas del día 05-11-2019, una fuente interna de la compañía Everis confirma que proceden a instalar las actualizaciones con los parches de seguridad, exclusivamente están conectados a la red interna y sin conectividad exterior.

Durante el día del ciberataque la información general que se maneja en la comunidad y los medios de comunicación es imparcial, imprecisa y basada en rumores, la información es de baja calidad y no confiable. Las hipótesis que manejamos en ERISCERT son:

  • Hay una probabilidad baja de que el malware pueda utilizar CVE-2017-0144 [8] (Eternalblue-WannaCry)
  • Hay una probabilidad baja de que el malware pueda utilizar RDP CVE-2019-0708 [9] (BlueKeep).
  • Hay una probabilidad alta de que los usuarios sean administradores del equipo.
  • El vector de entrada no es preciso, podría ser mediante correo electrónico o explotando explorador web.
  • Hay una probabilidad alta de que se trate de Emotet.

Un informe [10] de la unidad de inteligencia de una firma de seguridad española hace referencia a la explotación de la vulnerabilidad CVE-2019-0709 [11] (Hyper-V), es altamente probable que sea un error de transcripción.

Durante el día 05-11-2019, comienza a haber información precisa sobre el ciberataque.

  1. Un usuario de Everis accede a un sitio web comprometido.
  2. El sitio web comprometido presenta una falsa actualización de explorador web y el usuario descarga el fichero.
  3. El fichero es código javascript que infecta el dispositivo con malware de la familia Emotet.
  4. Una vez el atacante tiene bajo control el dispositivo infectado despliega la herramienta de post-explotación Empire.
  5. El atacante distribuye la familia de ransomware “BitPaymer/IEncrypt” a los dispositivos de Everis comprometidos.

En octubre de 2019, Everis firma [12] un acuerdo de colaboración bilateral con la agencia de comunicación de la OTAN (NCI) en materia de ciberseguridad. Este acuerdo de colaboración fue anunciado en el foro NIAC 2019 organizado por NCI en Bélgica

Crowdstrike identificó [13] una variante de Ryuk con capacidades para activar equipos remotamente (Wake of Lan – WoL), es importante anotar que no relacionaron Ryuk con la explotación de la vulnerabilidad conocida como Bluekeep.

  • Wizar Spider [14] es un actor amenaza originario de Rusia.
  • Wizar Spider está relacionado con la operación del troyano bancario
  • Wizar Spider ha sido relacionado con los actores amenaza Grim Spider[15] y Lunar Spider[16].
  • Grim Spider es un actor amenaza relacionado con la operación del ransomware Ryuk.
  • Lunar Spider está relacionado con campañas de distribución de Emotet.

IOCs relacionados con el ataque ransomware

Malware Hash SHA256
Ryuk e75622957decf1594c2cbe726ff0aaba4a509dab7b77721d3db16977f224ae4a

 

IOCs ciberataque compañía Everis

Malware Hash SHA256
BitPaymer bd327754f879ff15b48fc86c741c4f546b9bbae5c1a5ac4c095df05df696ec4f

Sistemas afectados

Cualquier versión de Microsoft Windows sin la protección antimalware adecuada.

Recomendaciones

Mantener el Sistema Operativo y el antivirus actualizado.

Disponer de copias de seguridad persistidas en sistemas aislados (sin conexión con la red).

Deshabilitar Powershell en aquellos equipos en los que no sea necesaria su ejecución [18], en caso de no poder desactivar Powershell mantener monitorización activa para mantener ejecuciones en los sistemas informáticos.

Monitorizar de forma activa el tráfico de red generado en la infraestructura tecnológica, analizando registros de actividad de dispositivos Proxy, firewalls, DNS.

Campañas de formación y concienciación a los usuarios frente a campañas de phishing/spear phishing para que se mantengan en alerta ante a estos vectores de entrada.

Referencias

[1] https://www.lavanguardia.com/tecnologia/20191104/471372667264/ciberataque-ransomware-virus-seguridad-nacional-ser-everis-accenture.html

[2] https://cadenaser.com/ser/2019/11/04/sociedad/1572862102_968725.html

[3] https://www.bleepingcomputer.com/news/security/ransomware-attacks-hit-everis-and-spains-largest-radio-network/

[4] https://www.cert.ssi.gouv.fr/uploads/CERTFR-2019-CTI-006-EN.pdf

[5] https://bitcoin.es/actualidad/mas-de-1-5-millones-de-euros-en-bitcoin-como-rescate-a-accentur-everis-y-cadena-ser/

[6] https://www.dsn.gob.es/es/actualidad/sala-prensa/ciberataques-ransomware-04-noviembre-2019

[7]https://www.virustotal.com/gui/file/bd327754f879ff15b48fc86c741c4f546b9bbae5c1a5ac4c095df05df696ec4f/detection

[8] https://www.cvedetails.com/cve-details.php?t=1&cve_id=CVE-2017-0144

[9] https://www.cvedetails.com/cve-details.php?t=1&cve_id=CVE-2019-0708

[10] https://www.entelgy.com/divisiones/innotec-security/innotec-security-actualidad/noticias/campana-de-ransomware-contra-organizaciones-espanolas

[11] https://www.cvedetails.com/cve-details.php?t=1&cve_id=CVE-2019-0709

[12] https://www.ncia.nato.int/NewsRoom/Pages/20191017-Three-NATO-Industry-Cyber-Partnership-agreements-signed-at-NIAS19.aspx

[13] https://www.crowdstrike.com/blog/wizard-spider-adds-new-feature-to-ryuk-ransomware/

[14] https://malpedia.caad.fkie.fraunhofer.de/actor/wizard_spider

[15] https://malpedia.caad.fkie.fraunhofer.de/actor/grim_spider

[16] https://malpedia.caad.fkie.fraunhofer.de/actor/lunar_spider

[17] https://ired.team/offensive-security/persistence/t1122-com-hijacking

[18] https://www.ccn-cert.cni.es/seguridad-al-dia/alertas-ccn-cert/8730-ccn-cert-al-06-19-campana-troyano-emotet.html

 

Última actualización 6 Noviembre 5 pm

Autores:

Jesús Gálvez

Alberto Ballestín Perez