Telefónica sufre un gran ataque de ransomware

Hoy nos enteramos de un ataque a la red interna de Telefónica bastante importante que nos confirman fuentes internas en la compañía. También este ataque podría estar afectando a Vodafone, Santander y Capgemini. Telefonica estaba diciendo por megafonía a sus empleados que apaguen los equipos para evitar que el Ransomware se extienda por toda su red.

Telefónica sufre un ataque Ransomware

No se sabe con exactitud que está pasando, pero en Telefónica ha dado la voz de alarma a sus empleados y algunos empleados o personal está filtrando información sobre lo sucedido en las redes sociales. Sabemos que es un ataque bastante serio a la red interna de la operadora ya que desconectaron los equipos de la red y los apagaron, además dieron la voz de alerta a los Datacenters que usen su red para que estén al tanto.

En un principio el problema sólo afecta a Telefónica España y no solo a la sede central sino también a las filiales.

WanaDecryptor V2 es el nombre del ransomware que esta afectando a Telefónica y a otras compañías. WanaDecrypor usa la ejecución remota de comando aprovechándose de la vulnerabilidad del protocolo SMB que hace que el malware se distribuya al resto de máquinas Windows de esa red.

Los sistemas afectados son Windows en distintas versiones como Windows Server 2008/2012/2016 ,Windows 7, Windows 8, Windows 8.1, Windows 10, Windows Vista SP2. Según ese informe, la vulnerabilidad aprovechada en el ciberataque fue incluida en un boletín de seguridad de Microsoft el pasado 14 de marzo, y hay un documento de soporte para poder solucionar el problema que puedes ver aquí.

Lo que veis en esta foto es el comunicado que lanzo telefónica a sus empleados para evitar que se siga expandiendo el ransomware. Hemos encontrado varios análisis sobre este Malware en Hybrid Analisis y en Virus Total.

Donde se instala WanaDecryptor V2?

Empieza modificando los archivos de estas rutas:

C:\WINDOWS\system32\msctfime.ime
C:\WINDOWS\win.ini
C:\DOCUME1\User\LOCALS1\Temp\c.wnry
C:
C:\DOCUME1\User\LOCALS1\Temp\msg\m_English.wnry

Modifica o Añade las siguientes claves a los registros:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\IMM
HKEY_USERS\S-1-5-21-1547161642-507921405-839522115-1004\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF
HKEY_LOCAL_MACHINE\Software\Microsoft\CTF\SystemShared
HKEY_USERS\S-1-5-21-1547161642-507921405-839522115-1004
HKEY_LOCAL_MACHINE\Software\WanaCrypt0r
HKEY_CURRENT_USER\Software\WanaCrypt0r
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1547161642-507921405-839522115-1004
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentVersion\Time Zones\W. Europe Standard Time
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Time Zones\W. Europe Standard Time\Dynamic DST
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\LangBarAddIn
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\LangBarAddIn\