Telefónica lijdt aan een ransomware-aanval

Vandaag vernemen we een tamelijk grote aanval op het interne Telefónica-netwerk die interne bronnen in het bedrijf ons bevestigen en die aanval zou ook Vodafone, Santander en Capgemini kunnen treffen. Telefonica vertelde zijn werknemers via het omroepsysteem dat ze hun computers moesten uitschakelen om te voorkomen dat de ransomware zich over hun netwerk verspreidde.

Telefónica lijdt aan een ransomware-aanval

Het is niet precies bekend wat er gebeurt, maar Telefónica heeft alarm geslagen bij haar werknemers en sommige werknemers of personeel lekken informatie over wat er op sociale netwerken is gebeurd. We weten dat het een vrij ernstige aanval is op het interne netwerk van de operator, omdat ze de apparatuur van het netwerk hebben losgekoppeld en uitgeschakeld, ze hebben ook de waarschuwende stem gegeven aan datacenters die hun netwerk gebruiken om ze up-to-date te houden.

Aanvankelijk heeft het probleem alleen betrekking op Telefónica Spanje en niet alleen op het hoofdkantoor, maar ook op de dochterondernemingen.

WanaDecryptor V2 is de naam van de ransomware die Telefónica en andere bedrijven treft. WanaDecrypor maakt gebruik van uitvoering van opdrachten op afstand door te profiteren van de kwetsbaarheid van het SMB-protocol dat ervoor zorgt dat de malware wordt gedistribueerd naar de andere Windows-machines op dat netwerk.

De getroffen systemen zijn Windows in verschillende versies, zoals Windows Server 2008/2012/2016, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows Vista SP2. Volgens dat rapport was de kwetsbaarheid die werd misbruikt bij de cyberaanval op 14 maart opgenomen in een Microsoft-beveiligingsbulletin, en er is een ondersteunend document om het probleem op te lossen dat u hier kunt zien.

Wat je op deze foto ziet, is de verklaring die ik telefonisch aan zijn werknemers heb vrijgegeven om te voorkomen dat de ransomware zich verder verspreidt. We hebben verschillende analyses van deze malware gevonden in Hybrid Analysis en Total Virus.

Waar is WanaDecryptor V2 geïnstalleerd?

Wijzig eerst de bestanden voor deze paden:

C: \ WINDOWS \ system32 \ msctfime.ime

C: \ WINDOWS \ win.ini

C: \ DOCUME ~ 1 \ User \ LOCALS ~ 1 \ Temp \ c.wnry

C: \

C: \ DOCUME ~ 1 \ User \ LOCALS ~ 1 \ Temp \ msg \ m_English.wnry

Wijzig of voeg de volgende sleutels toe aan de records:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ IMM

HKEY_USERS \ S-1-5-21-1547161642-507921405-839522115-1004 \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ Layers

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ CTF

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ CTF \ SystemShared

HKEY_USERS \ S-1-5-21-1547161642-507921405-839522115-1004

HKEY_LOCAL_MACHINE \ Software \ WanaCrypt0r

HKEY_CURRENT_USER \ Software \ WanaCrypt0r

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList \ S-1-5-21-1547161642-507921405-839522115-1004

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ currentVersion \ Time Zones \ W. Europese standaardtijd

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Time Zones \ W. Europa Standard Time \ Dynamic DST

HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ CTF \ LangBarAddIn \

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ CTF \ LangBarAddIn \

Meer informatie over Malwr