Spanien: Ransomware-Befall bei Everis und Cadena SER

In Spanien werden seit gestern gleich zwei Firmen durch einen Ransomware-Befall geplagt. Es handelt sich um Everis, ein IT-Beratungsunternehmen der NTT Data Group, und um Cadena SER, Spaniens größter Radiosender.


Anzeige

Ich bin bereits gestern Nachmittag per Twitter auf entsprechende Meldungen gestoßen. Sicherheitsforscher Kevin Beaumont hat über einen Tweet auf die Infektion (per Ryuk Ransomware) hingewiesen.

Später hat Beaumont dann in einem Tweet einen Screenshot mit der Infektionsmeldung eines Evis-Angestellten gepostet.

Später hat er dann noch berichtet, dass Spaniens National Cybersecurity Institute offline sei – ich konnte aber gestern auf deren Webseite zugreifen. Vermutlich war es nur eine Überlastung des Web-Servers, da dort seit dem 4. November 2019 ein kurzer Hinweis zu Ransomware in Unternehmen (ohne Details) zu finden ist. Später berichtete dann Catalin Cimpanu, dass auch der spanische Radiosender Cadena SER von Ransomware betroffen ist.

Noch einige Details

Sowohl ZDNet als auch Bleeping Computer haben inzwischen Beiträge mit einigen Details zu den beiden Ransomware-Fällen veröffentlicht. Nachdem der Angriff bemerkt wurde, benachrichtigte Everis intern seine Benutzer über “einem massiven Virenangriff auf das Everis-Netzwerk” und bat, die Leute die Maschinen herunter zu fahren. Everis hat wohl 24,500 Angestellte in 18 Ländern. Auf Twitter gibt es diese Information von einem Sicherheits-Konsultant.


Anzeige

Auch der spanische Radiosender Cadena SER bestätigte auf seiner Webseite, dass er von Ransomware betroffen ist. Die Ransomware verschlüsselte Dateien auf den Systemen des Unternehmens Evis mit der Erweiterung .3v3r1s, d.h. die Ransomware wurde gezielte Art für dieses Angriffs gegen den Anbieter modifiziert.

Die Lösegeldforderung in Höhe von 750.000 Euro, die auf den verschlüsselten  Everis-Systemen platziert wurde, warnt das Unternehmen vor Veröffentlichung des Vorfalls und teilt die Kontaktdaten zum Zahlen des Lösegelds an (aufgeführt sind die spezifischen E-Mail-Adressen sydney.wiley@protonmail.com und evangelina.mathews@tutanota.com, aber diese ändern sich mit jedem gezielten Angriff). Everis wurde durch die Ransomware BitPaymer infiziert. Das scheint auch die Ransomware-Familie zu sein, mit der Pilz infiziert wurde (siehe Erfolgreicher Cyberangriff auf die Pilz GmbH & Co. KG).

Welches Ransomware den Radiosender Cadena SER infiziert hat, ist noch unklar. Nach dem Angriff mit der unbekannten Ransomware trennte die Radiostation alle ihre Computer vom Internet trennen und setzt ihre Tätigkeit mit Hilfe von Geräten in ihrer Madrider Zentrale fort. Die spanischen Behörden haben diese Verlautbarung veröffentlicht, die aber keine Details enthält.

Ist BlueKeep beteiligt?

Bleeping Computer schreibt, dass eine mit den Vorfällen betraute Quelle, die anonym bleiben möchte, davon berichtete, dass die BlueKeep-Schwachstelle bei einem Angriff ausgenutzt worden sei. Erst gestern hatte ich im Artikel Windows: Erste BlueKeep-Angriffe gesichtet berichtet, dass erste Angriffsversuche bekannt geworden sind.

Sicherheitsforscher Kevin Beaumont schreibt, dass er hunderte von Evis RDP-Servern gefunden habe, die per Internet erreichbar sind. Cyber-Security Consultant Arnau Estebanell Castellví geht aber davon aus, dass die Infektion per E-Mail-Anhang erfolgte. Möglicherweise wurde dann die BlueKeep-Schwachstelle für die interne Verbreitung im Evis-Netzwerk genutzt – aber das ist Spekulation.

Ähnliche Artikel:
How To: BlueKeep-Check für Windows
5 vor 12: Malware mit BlueKeep-Scanner und Exploits
Windows: Bluekeep-Metasploit öffentlich verfügbar
Windows: Erste BlueKeep-Angriffe gesichtet
Erfolgreicher Cyberangriff auf die Pilz GmbH & Co. KG


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.