Cientos de trabajadores de la sede de Telefónica en Distrito C de Las Tablas (Madrid), y de otros centros de la compañía, han visto hace unos minutos cómo se colapsaban sus equipos que, aparentemente, han mostrado una pantalla azul y han comenzado a encriptar los discos duros.

pantallazo azul telefonica

Según apuntan ya los medios, desde Telefónica aseguran que el ataque no afecta ni a su red de comunicaciones ni al servicio que se ofrece a los clientes pero la compañía parece haber pedido por megafonía que se apaguen todos los dispositivos de forma preventiva. “se han apagado los ordenadores y equipos, así como las VPN” afirman desde eldiario.es.

Por el momento, no se sabe a ciencia cierta qué está ocurriendo pero la empresa habría dado la voz de alarma a sus empleados con lo que la noticia ya está corriendo por las redes sociales.

Telefonica 2Telefónica habría enviado un correo interno a todos los empleados en el que, el equipo de Seguridad de la compañía reconocería haber “detectado el ingreso a la red de Telefónica de un malware que afecta tus datos y tus ficheros“.

Telefonica 4

El ataque también podría haber afectado a Vodafone, Santander, BBVA, Deloitte, Everis, HP, Puig, algunos ayuntamientos y Capgemini pero portavoces de BBVA ya han desmentido la noticia. Sin embargo, parece que fuentes de Telefónica han confirmado el ataque asegurando que solo se han visto afectados unos cien ordenadores de un total de 40.000 y no afecta al servicio que presta la compañía. Estas mismas fuentes aseguran que se trata de un virus que pide un rescate en “bitcoins” de 300 dólares.

Los ciberdelincuentes aseguran que si la empresa no paga la cantidad establecida, el 15 de mayo subirán el precio del rescate y el 19 de mayo se eliminarán definitivamente.a cambio de recuperar el control de la flota de dispositivos de la compañía.

Según nos cuentan trabajadores de Telefónica se ha alertado a los empleados de un “ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red” .

El ransomware, “una versión de WannaCry” , infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.

Los sistemas aparentemente  afectados son:

Microsoft Windows Vista SP2
 Windows Server 2008 SP2 and R2 SP1
 Windows 7
 Windows 8.1
 Windows RT 8.1
 Windows Server 2012 and R2
 Windows 10
 Windows Server 2016

En este sentido, Microsoft publicó la vulnerabilidad el pasado 14 de marzo en su boletín y hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña.

Por lo tanto, se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante. Para los sistemas sin soporte o parche, como Windows 7, se recomienda aislar de la red o apagar según sea el caso.

Detalles técnicos

El código dañino no está cifrado/empaquetado y se ha comprobado que lanza los siguientes comandos:

cmd.exe/c vssadmin delete shadows /all / quiet & wmic shadowcopy delete & bcdedit / set {default} 
bootstatuspolicy ignoreallfailures & bcdedit /set {default}  recoveryenabled no & wbadmin delete 
catalog -quietvs

El wallet para pagar es:

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

Lista de archivos que cifra:

.der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot . 3ds .max .3dm .ods .ots .sxc .stc .dif .slk .
wb2 .odp .otp .sxd .std .uop .odg .otg .sxm . mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql . accdb .mdb .dbf .
odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cpp .pas .asm .cmd .bat .ps1 .vbs .dip .dch .sch .brd .jsp .php .
asp .java .jar .class .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .
wma .mid .m3u .m4u .djvu .svg .psd .nef .tiff .tif .cgm .raw .gif .png . bmp .jpg .jpeg .vcd .iso .backup .
zip .rar . tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg . vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp 
.snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf . csv .txt .vsdx .vsd .edb .eml .msg .ost .pst . potm .potx .
ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw . xlsb .xlsm .xlsx .xls .dotx .dotm .
dot .docm .docb .docx .doc

 

Como véis estamos ante un ataque de tipo ransomware contra Telefónica. No olvidemos que los últimos datos en este ámbito apuntan a que durante el primer trimestre del año se han superado los 1,85 millones de nuevas amenazas; es decir, que se ha creado un nuevo malware cada 4,2 segundos.

Además, según los analistas de Kaspersky Lab, las empresas se han convertido en la diana preferida de los ciberdelincuentes ya que consideran que los ataques de ransomware dirigidos contra empresas son más rentables que los ataques a usuarios privados. Un ataque de ransomware exitoso contra una empresa puede detener fácilmente sus procesos de negocio (tal y como vemos que he ocurrido en Telefónica) durante un tiempo, lo que hace más probable que los propietarios de las empresas afectadas paguen el rescate.

About Author

Desiree Rodriguez

Responsable Globb Security España y Francia

1 comentario

  1. Investigación Digital, Dictámenes, Periciales, Informes Organismos Públicos y Privados on

    Excelente tema de información y con esto se demuestra que la Ciberdelincuencia, ha desarrollado una gran plataforma de ataque, mientras que las organizaciones duermen el sueño de los justos.

Deja un comentario