Até o momento, a rádio Cadena SER e a consultora Everis confirmaram ter sido vítimas deste ataque de ransomware. Apesar disso, não está descartada a possibilidade de que mais empresas tenham sido afetadas.
Ontem, a imprensa espanhola divulgou que pelo menos duas grandes empresas em Espanha foram vítimas, no mesmo dia, de um ataque de ransomware. A primeira foi a Everis, consultora de TI do Grupo NTT Data, e a segunda a Cadena SER, rádio mais importante de Espanha que pertence ao grupo PRISA Radio. As duas organizações foram as que até agora confirmaram oficialmente o ataque informático.
De acordo com os portais BleepingComputer e Zdnet, depois da divulgação de imagens da mensagem apresentada pelo ransomware nos computadores infetados, seria possível dizer que supostamente se trata do ransomware BitPaymer, um código malicioso que foi descoberto recentemente e que explorou uma vulnerabilidade zero-day nos softwares iCloud e iTunes da Apple.
Um comunicado interno da Prisa Radio, enviado na madrugada de 4 de novembro, explicou que um vírus afetou os seus sistemas e que, por isso, seria necessário desligá-los completamente para evitar que a ameaça se propague, explica o jornal El Confidencial. Enquanto isso, “a transmissão da rádio Cadena SER ficou centralizada na Radio Madrid, e foram canceladas as transmissões locais e regionais, exceto aquelas que foram expressamente autorizadas pela Direção da Rádio”, acrescentou o jornal.
A consultora Everis emitiu um comunicado interno semelhante a solicitar que os computadores fossem desligados, desconectando a rede com os clientes e entre escritórios, e solicitando que a mesma mensagem fosse comunicada às equipas e colegas devido a problemas de comunicação.
Para além disso, o Departamento de Segurança Nacional de Espanha emitiu um comunicado garantindo que, seguindo o protocolo estabelecido em casos de ataques informáticos, a rádio Cadena SER desligou os seus sistemas operativos e já estão a trabalhar para voltar à normalidade. O Instituto Nacional de Cibersegurança (INCIBE-CERT) garante que estão trabalhar em conjunto com as empresas afetadas para a mitigação do incidente.
A nota apresentada pelos hackers sobre os passos que as vítimas do ataque devem seguir inclui dois endereços de e-mail, permitindo que os utilizadores atacados possam comunicar com os criminosos caso queiram recuperar os arquivos sequestrados.
Ainda não sabemos qual a família de ransomware que afetou tanto a Cadena SER como a Everis. Segundo o jornal El País, fontes da Cadena SER dizem que se trata do ransomware Ryuk, enquanto que outros especialistas apontaram ontem para a família de ransomware BitPaymer/iEncrypt.
De acordo com o que Bernardo Quintero, fundador do VirusTotal, explicou ontem através da sua conta no Twitter, depois de analisar a versão que aparentemente afetou a consultora Everis, esta família de ransomware BitPaymer/iEncrypt existe há pelo menos três anos e tem sido utilizada em várias ocasiões para ataques dirigidos contra empresas, principalmente contra grandes alvos.
la familia de ransomware BitPaymer / iEncrypt lleva ya 3 años entre nosotros, siendo utilizado para ataques dirigidos contra empresas. El grupo que hay operando tras estos ataques prefiere ir contra objetivos grandes específicos, en vez de hacer ataques indiscriminados
— Bernardo Quintero (@bquintero) November 4, 2019
Através do Twitter, Quintero explica que casos semelhantes a estes ataques a empresas espanholas ocorreram em países como Alemanha, Canadá, Reino Unido e Estados Unidos, “com variantes criadas para a ocasião”. Por outro lado, o especialista acrescenta que não é o típico ransomware que infeta e dá início à encriptação, mas que antes de executar o payload pode levar vários dias para estudar a rede interna na ânsia de infetar o maior número possível de sistemas.
…si pueden te pillan hasta los sistemas de backup antes de lanzar el payload, y lo hacen en fin de semana para que explote el lunes y maximizar el impacto en el negocio y aumentar la presión/estrés en los equipos de respuesta ante incidentes
— Bernardo Quintero (@bquintero) November 4, 2019
Embora os casos de ransomware tenham diminuído em comparação com, por exemplo, 2017, ainda é uma ameaça ativa e perigosa, que aparentemente está a deixar de ser usada de forma massiva para ataques dirigidos.
[…] recordar que no início deste mês outras empresas espanholas foram vítimas de incidentes de segurança, como foi o caso da Cadena SER e da consultora Everis, ambas vítimas de ataques de […]