Telefónica subisce un attacco ransomware
Sommario:
Oggi veniamo a conoscenza di un attacco abbastanza significativo alla rete interna di Telefónica che le fonti interne dell'azienda ci confermano e che potrebbe colpire anche Vodafone, Santander e Capgemini. Telefonica stava dicendo ai suoi dipendenti tramite il sistema di diffusione sonora di spegnere i loro computer per impedire che il Ransomware si diffondesse in tutta la loro rete.
Telefónica subisce un attacco Ransomware
Non si sa esattamente cosa stia succedendo, ma Telefónica ha lanciato l'allarme per i suoi dipendenti e alcuni dipendenti o personale stanno perdendo informazioni su ciò che è accaduto sui social network. Sappiamo che si tratta di un attacco abbastanza grave alla rete interna dell'operatore poiché hanno disconnesso le apparecchiature dalla rete e le hanno spente, inoltre hanno dato la voce di avviso ai Datacenter che utilizzano la loro rete in modo che siano consapevoli.
Inizialmente, il problema riguarda solo Telefónica Spagna e non solo la sede ma anche le filiali.
WanaDecryptor V2 è il nome del ransomware che sta colpendo Telefónica e altre società. WanaDecrypor utilizza l'esecuzione di comandi remoti sfruttando la vulnerabilità del protocollo SMB che causa la distribuzione del malware sugli altri computer Windows su quella rete.
I sistemi interessati sono Windows in diverse versioni come Windows Server 2008/2012/2016, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows Vista SP2. Secondo tale rapporto, la vulnerabilità sfruttata nell'attacco informatico è stata inclusa in un bollettino Microsoft sulla sicurezza del 14 marzo e esiste un documento di supporto per risolvere il problema che è possibile visualizzare qui.
Quello che vedi in questa foto è la dichiarazione che ho rilasciato per telefono ai suoi dipendenti per impedire che il ransomware si diffonda ulteriormente. Abbiamo trovato diverse analisi di questo malware in Analisi ibrida e Total Virus.
Dove è installato WanaDecryptor V2?
Inizia modificando i file per questi percorsi:
C: \ WINDOWS \ system32 \ msctfime.ime
C: \ WINDOWS \ win.ini
C: \ DOCUME ~ 1 \ User \ LOCALS ~ 1 \ Temp \ c.wnry
C: \
C: \ DOCUME ~ 1 \ User \ LOCALS ~ 1 \ Temp \ msg \ m_English.wnry
Modifica o aggiungi le seguenti chiavi ai record:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ IMM
HKEY_USERS \ S-1-5-21-1547161642-507921405-839522115-1004 \ Software \ Microsoft \ Windows NT \ CurrentVersion \ AppCompatFlags \ Layers
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ CTF
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ CTF \ SystemShared
HKEY_USERS \ S-1-5-21-1547161642-507921405-839522115-1004
HKEY_LOCAL_MACHINE \ Software \ WanaCrypt0r
HKEY_CURRENT_USER \ Software \ WanaCrypt0r
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList \ S-1-5-21-1547161642-507921405-839522115-1004
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Session Manager
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ currentVersion \ Time Zones \ W. Ora standard dell'Europa
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Time Zones \ W. Ora solare Europa \ Ora legale dinamica
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ CTF \ LangBarAddIn \
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ CTF \ LangBarAddIn \
Ulteriori informazioni su Malwr
Il ricercatore interrompe l'attacco ransomware con la registrazione del dominio
Un investigatore interrompe l'attacco ransomware con una registrazione del dominio. Scopri come questo ricercatore interrompe il ransomware WannaCry.
La Formula 1 impedisce un attacco ransomware
La Formula 1 impedisce un attacco ransomware. Scopri come la Formula 1 è riuscita a evitare di diventare vittima di un attacco di ransomware.
Badrabbit: l'attacco ransomware si diffonde in tutta Europa
BadRabbit: l'attacco ransomware si sta diffondendo in tutta Europa. Scopri di più su questo ransomware che interessa le aziende in Russia e Ucraina.
