En estos momentos la red interna de Telefónica, aquella que usa la propia compañía, está sufriendo un ciberataque con ransomware. Según informan varios medios la operadora está pidiendo a todos sus empleados que apaguen ordenadores y equipos, avisos que han llegado mediante correo electrónico e incluso por megafonía. No existen indicios de que el ataque haya alcanzado a los clientes de la compañía.

Según explica eldiario.es, algunos trabajadores de Telefónica afirman que, "han empezado a salir pantallazos azules". En las capturas que ya empiezan a correr por Internet aparece el típico mensaje de un ataque de ransomware, en el que los intrusos afirman haber secuestrado el equipo y piden un rescate económico para descifrar los datos. Los atacantes exigen un pago de 300 dólares mediante bitcoins por equipo. En caso de no abonar dicha cantidad el 15 de mayo subirán el precio del rescate y el 19 de mayo se eliminarán los datos de forma definitiva.

Cita:El correo que Telefónica ha enviado a sus empleados escribió:URGENTE: APAGA TU ORDENADOR YA

El equipo de Seguridad ha detectado el ingreso a la red de Telefónica de un malware que afecta tus datos y ficheros. Por favor avisa a todos tus compañeros de esta situación.

Apaga el ordenador ya y no vuelvas a encenderlo hasta nuevo aviso(*).

Te enviaremos un correo que podrás leer a través de tu móvil cuando la situación ya esté normalizada. Además, te informaremos en las entradas de los edificios sobre el acceso a la red. Ante cualquier duda contacta con la Mesa de Ayuda (29000).

(*) Desconecta el móvil de la red WiFi pero no hace falta que lo apagues.

Dirección de Seguridad

Fuentes de la compañía minimizan el alcance del ataque e incluso lo comparan con una infección habitual de equipos informáticos. Pero los trabajadores de la compañía con los que ha podido contactar Xataka hablan de un "parón total".

Se desconoce por ahora si el ataque ha sido dirigido hacia Telefónica o si simplemente un empleado ha metido la pata. En cualquier caso es llamativo que una compañía como Telefónica no tenga un sistema antiransomware en todos sus equipos. A raíz de esta intrusión han aparecido informaciones sobre un posible ataque a otras compañías como Vodafone o BBVA que ya ha sido desmentido.

Actualización: El Centro Nacional de Inteligencia (CNI) ha emitido un comunicado en el que alerta "de un ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red". En opinión del CNI se trata de una versión de WannaCry que utiliza una vulnerabilidad de ejecución de comandos remota a través de SMB.

Microsoft publicó la vulnerabilidad el día 14 de marzo en su boletín y hace unos días se hizo pública una prueba de concepto que, según apunta el CNI, "parece que ha sido el desencadenante de la campaña".

Fuente

Mal día para ser informático. Me queda una hora para salir del curro. Espero que ningún toli se le ocurra abrir algún email sospechoso.

El ataque con ransomware a Telefónica se extiende y alcanza a los hospitales británicos

La BBC y otros medios del Reino Unido señalan que un número indeterminado de hospitales de Londres, Blackburn, Nottingham, Cumbria y Hertfordshire han sido víctimas de un gran ciberataque que según los primeros indicios guarda relación directa con el que este mediodía ha golpeado a Telefónica y otras empresas españolas. Todos los centros afectados por ahora pertenecen al Servicio Nacional de Salud (NHS por sus siglas en inglés), equivalente al Sistema Nacional de Salud de España.

La situación en los hospitales afectados está siendo lo suficientemente mala como para solicitar a la gente que no acuda a las salas de urgencias, remitiendo a los ciudadanos al teléfono de consultas o al número de emergencias en caso de sufrir problemas realmente graves.

De acuerdo con la información disponible en estos momentos, el ataque se activó a las 12:30 de la tarde hora local. Primero se detectaron problemas con los servidores del correo electrónico, seguidos de caídas en sistemas clínicos y de pacientes. En las pantallas de los ordenadores aparece un mensaje pidiendo un rescate en Bitcoins a cambio de desbloquear los contenidos de los ordenadores afectados, inaccesibles debido al cifrado introducido por el ransomware.

El mensaje en cuestión muy similar al recibido por Telefónica si se compara con las imágenes publicadas en medios. En él se exige el pago de un rescate anónimo de 300 dólares por equipo para eliminar el cifrado de los datos secuestrados por el ransomware. En varias fotografías se puede apreciar que incluso coinciden las direcciones para enviar el rescate, lo que da a entender que se trata del mismo atacante.

Varias de las cuentas utilizadas para exigir el pago del rescate han recibido ingresos.

Según MalwareHunterTeam, se trata de un ataque masivo e internacional. Rusia es el primer país por número de infecciones, seguido por Taiwán y España (aunque parece que los ataques en España y el Reino Unido están teniendo mayor repercusión en cuanto a las entidades afectadas). Por el momento se desconoce el origen del ataque.

El periódico El País, citando fuentes de la ciberseguridad española, señala que "los creadores del ataque contra Telefónica se basaron en filtración de Wikileaks Vault 7", aunque este es otro dato que todavía debe ser confirmado.

Se desconoce si el ransomware fue enviado de forma directa por los atacantes o si por el contrario cruzó sistemas y fronteras de forma imprevista por sus responsables. Sea como sea, las características del ataque de hoy son extremadamente inusuales. Por regla general los cibercriminales involucrados en este tipo de sucesos prefieren extorsionar a empresas pequeñas y medianas de sectores concretos, sabedores de que es mucho más fácil que no tengan copias de seguridad al día y de que estén más dispuestas a pagar el rescate. Atacar a gigantes como Telefónica o el sistema de salud británico es casi temerario, puesto que incrementa su perfil de forma exponencial y atrae más atención de la deseada.

Fuente

A una hora de salir del curro nos han pedido que nos desconectemos de la red como precaución, han sido momentos tensos.

A nosotros nos han capado también el acceso hacia afuera. Ha estado bien, me he tocado las pelotas en esa última hora y media

El pasado viernes un ciberataque masivo con ransomware afectó a organizaciones de todo el mundo incluyendo a Telefónica en España, el Servicio Nacional de Salud del Reino Unido o FedEx en Estados Unidos. El responsable de este ataque es una variante de WannaCry, un malware especialmente virulento que se aprovecha de una vulnerabilidad que le permite ejecutar comandos remotos a través de Samba (SMB) y distribuirse al resto de máquinas de una red corporativa.

A pesar de que la vulnerabilidad que explota WannaCry ya era conocida y fue solucionada en el boletín de seguridad de Microsoft MS17-010 el pasado 14 de marzo, la expansión de WannaCry parecía imparable. Pero un par de investigadores británicos han encontrado en el código del ransomware una especie de kill-switch, un interruptor de emergencia virtual que consiste en la conexión a un dominio. Si WannaCry conseguía conectarse se dormía, en caso contrario seguía propagándose.

El dominio en cuestión (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) no estaba registrado, así que los investigadores decidieron comprarlo por un coste de aproximadamente 10 euros y redirigir todas sus conexiones a un servidor sinkhole, una técnica que da respuesta a una petición de DNS devolviendo una IP falsa o nula. Con el dominio activo todas las peticiones de WannaCry (más de 5.000 por segundo) son atendidas y el malware deja de reproducirse, evitando así la propagación al resto de equipos de una red. Héroes sin capa que han confesado serlo por accidente.

La expansión de WannaCry se ha detenido, pero la amenaza persiste. Mañana mismo podría aparecer una nueva variante que apuntara a otro dominio o sin kill-switch y el daño será el mismo o mayor. Para prevenir un ataque de este u otro tipo de malware se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante. Sin embargo, el riesgo cero no existe, así que también es aconsejable guardar una copia de seguridad de los datos en un medio que no este conectado a Internet.

Fuente

Por comentar........¿Solo yo veo paralelismos con el argumento de Terminator 3? ¿Cuanta gente sabe que Skynet existe realmente, que es una red de satélites británicos creo? ¿Debería empezar a buscar un refugio en Crystal Peak? ¿Cuando alguien llame diciendo quien está al mando tengo que responder 'yo'?