В начале текущей недели направленные атаки шифровальщика вывели из строя как минимум две испанские компании в один день: консалтинговая фирма Everis, принадлежащая NTT Data Group и работающая в сфере ИТ, а также радиокомпанию Sociedad Española de Radiodifusión (Cadena SER).
Сначала в СМИ поднялась настоящая паника, так как все немедленно припомнили эпидемию WannaCry и стали предполагать, что, возможно, происходящее связано с началом эксплуатации уязвимости BlueKeep. Однако тревоги журналистов не оправдались, — пострадавших по-прежнему только двое и речи о распространении саморазмножающегося червя не идет.
Cadena SER уже выпустила официальное заявление об инциденте, но Everis пока хранит молчание. Известно, что обе компании приказали своим сотрудникам выключить компьютеры и отключили свои сети от интернета.
Согласно неофициальным данным, Everis, в которой работают более 24 500 сотрудников в 18 странах мира, пострадала больше. Атака затронула все филиалы компании и считается, что вымогатель успешно распространился через внутреннюю сеть.
Судя по скриншотам, опубликованным в социальных сетях, вымогатель, поразивший фирму, это небезызвестный BitPaymer, ранее атаковавший французский телеканал M6 и немецкого производителя средств автоматизации Pilz. От какой именно малвари пострадала Cadena SER, пока неизвестно.
Испанские власти уже отреагировали на случившееся. Так как двумя годами ранее Испания серьезно пострадала от WannaCry, спустя всего несколько часов после инцидентов Департамент национальной безопасности страны опубликовал рекомендации по безопасности, предупреждая компании о необходимости усиления мер кибербезопасности и призывая пострадавших жертв обратиться за помощью в INCIBE, Национальный институт кибербезопасности Испании.
Стоит сказать, что в сети ходили слухи о том, что пострадали и другие ИТ-компании, помимо Everis. В итоге представители финансовой консалтинговой фирмы KPMG и софтверного гиганта Accenture были вынуждены выпустить заявления в Twitter, заверяя своих клиентов, что атаки их не коснулись, и они работают в штатном режиме.
KPMG está analizando todos sus ordenadores y no hay ningún caso de ciberataque de 'ransomware'. Os mantendremos informados si hay alguna novedad al respecto.
— KPMG España (@KPMG_ES) November 4, 2019
Os confirmamos que Accenture NO ha recibido ningún ciberataque y que estamos operando con absoluta normalidad
— Accenture España (@AccentureSpain) November 4, 2019