Esta mañana, la intranet de Telefónica ha quedado bloqueada, víctima de un ciberataque.
Inmediatamente, la compañía ha ordenado a sus trabajadores apagar todos los equipos informáticos.
Según trabajadores anónimos de la compañía, se trata de un ataque de Ransomware, una técnica utilizada por los hackers para bloquear los dispositivos y pedir rescates a cambio, 300 dólares en bitcoin en este caso.
Por suerte, los clientes no se verán afectados por el ataque a la intranet, según ha comunicado la compañía.
La empresa ha enviado aviso en forma de correo electrónico a los empleados, explicando cómo proceder ante este ataque:
URGENTE: APAGA TU ORDENADOR YA
El equipo de Seguridad ha detectado el ingreso a la red de Telefónica de un malware que afecta tus datos y ficheros. Por favor avisa a todos tus compañeros de esta situación.
Apaga el ordenador ya y no vuelvas a encenderlo hasta nuevo aviso(*).
Te enviaremos un correo que podrás leer a través de tu móvil cuando la situación ya esté normalizada. Además, te informaremos en las entradas de los edificios sobre el acceso a la red.
Ante cualquier duda contacta con la Mesa de Ayuda (29000)
(*) Desconecta el móvil de la red WiFi pero no hace falta que lo apagues
Dirección de Seguridad
Chema Alonso, chief data officer en Telefónica.
Chema Alonso no ha tardado en acudir a Twitter para restar importancia al suceso y dejar claro que la empresa está trabajando para solucionar lo antes posible este incidente.
Como muchos sabéis, la seguridad interna de Telefónica no es una de mis responsabilidades directas. Pero todos somos parte de la seguridad..
— Chema Alonso (@chemaalonso) 12 de mayo de 2017
…en la casa. Las noticias son exageradas, y los compañeros están trabajando en ello ahora mismo. Por desgracia, también ha afectado a otras
— Chema Alonso (@chemaalonso) 12 de mayo de 2017
… organizaciones y están colaborando con ellos. En cuanto tengan más detalles del ransomware, los compartirán. En @Elevenpaths no hemos sido
— Chema Alonso (@chemaalonso) 12 de mayo de 2017
… afectados, y compartiremos todo lo que aprendamos con #nomoreransom, donde somos socios y aportamos herramientas https://t.co/1TnT5UXwxF
— Chema Alonso (@chemaalonso) 12 de mayo de 2017
Varias Empresas Afectadas.
Al mismo tiempo chema publicó un Tweet en el cual hay un articulo del Centro Criptologico Nacional de España en cual se muestra que han sido varias empresas las afectadas.
Del CCN-CERT “Ataque masivo de ransomware que afecta a un elevado número de organizaciones españolas” https://t.co/G0HRi77nZa pic.twitter.com/GE8hJGuvnQ
— Chema Alonso (@chemaalonso) 12 de mayo de 2017
El ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.
Los sistemas afectados son:
Microsoft Windows Vista SP2
Windows Server 2008 SP2 and R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 and R2
Windows 10
Windows Server 2016
Medidas de prevención y mitigación
- Actualizar los sistemas a su última versión o parchear según informa el fabricante
- Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso.
- Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.
- Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso, puedan ser aislados, actualizados y/o apagados.
Fuente: https://twitter.com/chemaalonso?lang=es
https://www.ccn-cert.cni.es/seguridad-al-dia