404 meneos
4445 clics
Tres semanas KO por un ciberataque: así tienen secuestrados los sistemas de Adeslas
La compañía de salud, una de las más grandes de España, lleva desde el 11 de septiembre sin poder operar con normalidad debido a un potente ataque 'ransomware', que no parece que vaya a resolverse pronto.
|
comentarios cerrados
- ¿Contratar y pagar a unos informáticos de verdad? que forma de tirar el dinero- dijo el CEO puesto de coca en el puticlub de lujo...
Pero este tipo de ataques ya es una realidad para todo tipo de empresas y la gente se acuerda de Santa Bárbara cuando truena. Cuantos remote Desktop hay abiertos?
Hay un cojón y medio de soluciones, tanto para reducir la probabilidad de un ataque exitoso como para no salir escaldado en caso de que ocurra. Ahora, implementarlas lleva tiempo y dinero, y la seguridad es algo que se suele ignorar muy fácilmente ("¿Invertir dinero y no obtener retorno directo? Eso es de parguelas").
Es lo que tiene tener 2 informaticos que se sacaron la plaza hace 20 años y luego subcontratar el resto a distintas empresas e ir cambiando de empresa cada 2 años.
El backup es la última medida de seguridad a usar
Adiós Adeslas.
Siempre puedes comerte un day0 pero vamos, esos suelen ser ataques dirigidos y una vez constatada su efectividad es cuando se venden en la deep y se lanzan de forma masiva.
Ejemplos, sophos o cortex si los configuras de forma estricta y tienes el parque siempre al 99,9% de despliegue y llevas los parches críticos al día con cosas como sccm o un Kace, buenas políticas de firewall, correo con un Gmail u office etc empiezas a estar bastante cubierto...
Si no las tienes, pues pasan estas cosas.
Solo deciros que teníamos como clientes a gente bastante famosa.
A Everis por ejemplo se rumorea que el ransomware que le colaron fue por un mail sobre el nombre del estadio del Atlético de Madrid (bien hecho por parte de los atacantes, el fútbol es capaz de enajenar a mucha gente y hacerle perder el sentido común y olvidar la prudencia) y alguno de sus trabajadores hizo click...
¿Cómo te proteges de eso? ¿De verdad puedes hacerlo, sin causarle problemas a los que trabajan en esa empresa y necesitan tener Internet y el correo electrónico funcionando con normalidad? Lo pregunto en serio.
Edit: Sí, vale es Everis, pero a Movistar también le colaron un ransomware si no recuerdo mal, y tenían a Chema Alonso trabajando para ellos.
Saludos.
Conozco Adeslas de cerca, tienen a gente muy buena trabajando para ellos, y las políticas de seguridad eran más razonables que en muchas otras de las empresas que conozco. Las conexiones desde fuera se hacen con escritorios virtuales efímeros sólo para redes de confianza previamente validadas.
De hecho pertenece al grupo Mutua Madrileña, que ya sufrieron un ataque similar hace un par de años...
No obstante está claro que alguien la ha cagado. Supongo que con el coronavirus bajaron la guardia para facilitar la operativa a los empleados... y a tomar por culo.
Y desde luego que si tras la primera semana no levantas cabeza, es que te han follado hasta el fondo.
Me consta que se les ofreció ayuda desde otras entidades (es algo habitual) y que ni contestaron.
Dicho esto, sólo hay que ver las webs y aplicaciones de Adeslas para darse cuenta del poco mimo que le ponen a su departamento de IT
No se los detalles del ataque , pero no me creo que no puedan hacer un restore desde las cabinas de backup en tres semanas. O alguien la ha cargado bien o no se entiende.
Otra cosa que tengan mil millones de sistemas ( muchos legacy seguro ) y que levantarlos.
Si tienen escritorios vdi no se entiende como han entrado.
Lo que tienen que entender las empresas grandes es que tienen que tener planes de contingencia y comprobarlos periódicamente.
Y los planes de contingencia tienen que ser obligatorios no solo por riesgos informáticos.
Si está mal hecho la cosa cambia, pero eso es otra historia.
Este año me he comido unas cuantas de estas y no es buena experiencia, están los atacados y los que van a ser atacados.
Lo que dice #55
Y para pymes hay soluciones de sencilla implantación como los router de gl.inet (openwrt) que valen dos duros y en un periquete tienes una VPN con openvpn o wireguard.
La fórmula segura son las copias de seguridad y las pruebas de restauración. Si lo puedes restaurar de forma aislada los atacantes no pueden hacer nada contra esa restauración. El único factor que puede variar entre la restauración en el simulacro y la real es la fecha de los equipos, es lo único que podría hacer disparar el ransomware, pero la fecha de un sistema aislado se puede falsear.
En un cliente nuevo, les hice un informe de todas las barbaridades que habia y los peligros, situacion critica. No aprobaron hacer nada porque su asesor particular decia que no era "estrictamente" necesario gastar en eso.
Un mes y pico mas tarde los servidores mas criticos del sistema se caen con suerte fue un jueves creo recordar, restauro cogido con pinzas el sistema en una maraton para que el lunes al menos funcionara todo lo basico y restaurar desde ahi.
Tras esto, reunion de crisis de empresa, asesor, mi consultora, etc. . Resultado: Hay que hacer lo que indicaba en mi informe de inicio en la toma del cliente, pero .... no quieren verme por alli y que yo este involucrado en nada con ellos, creo que llegaron a sospechar que yo tuve algo que ver en que sus equipos con mas de 10 anos sin mantenimiento alguno, etc,etc fallaran. Por suerte mi consultora confiaba en mi.
En muchos sitios es ciencia ficción. Como mucho compruebas tus backups tras una gran cagada, y entonces es cuando te das cuenta de la calidad de los mismos.
Entiendo que quien no haya pagado tal tipo de operación luego se la cobrarán
Fui consultor.
Chema Alonso no trabajaba en el departamento de ciberseguridad de Telefónica.
"Yo he visto cosas en Adeslas que vosotros no creeríais. Atacar naves en llamas más allá de Orión. He visto rayos-C brillar en la oscuridad cerca de la Puerta de Tannhäuser. Todos esos momentos se perderán en el tiempo, como lágrimas en la lluvia. Es hora de morir."
Adeslas1, para el que lo entienda
Ambos fallos son negligencias graves, pero esto de Adeslas es varias magnitudes superior.
¿y si aun así entra un ranson? Pues si el usuario tiene acceso solo a lo que debe, tiene el ordenador debidamente configurado (backup de datos diario del ordenador del usuario) es muy sencillo, se reinstala el ordenador del usuario, se restauran sus datos locales, y se restaura la copia de lo que tenga en red, que debe tener acceso a lo mínimo.
y así, entra uno y no pasa nada, pero si no tienes parcheado y puede moverse lateralmente, o no tienes parchado y puede escalar, pues estas jodido
De todas formas sin saber cómo lo tenéis montado es difícil de ver los cuellos de botella.
Por cierto, el backup no es seguridad, es contingencia.
Lo más gracioso es que es básicamente lo que venden las aseguradoras, pagar por un seguro en el caso de que algún día lo necesites pero nadie te asegura que lo vayas a usar y mejor si no te hace falta, así que deberían ser las que mejor entienden porque se hacen este tipo de cosas.
Lo que te puede salvar, es un sistema robusto de copias de seguridad... eso te puede dar pie, a aislar, limpiar y remontar tu sistema de información. Lo que significa minimizar las pérdidas. Ahora, si no puedes levantar el sistema... entonces pasa lo que pasa.
Quizá deberían empezar a pensar más en gente con experiencia.
Trabajar directamente con la VPN es súper lento. Si tienes que enviar ficheros tarda un huevo.
Por eso me parece injusto que aquí estemos haciendo chanza como si fuesen unos gañanes absolutos que han descuidado lo más básico, que a mi parecer no hace justicia.
La empresa no es pequeña, pero no tengo ni idea que capas de seguridad tienen montadas,, pero me imagino que bastantes tienen, y sistemas de respaldo hay.
Y tb soy un friki de la seguridad de los datos. Mis contraseñas están dentro de un keepass dentro de un cryptomator.
Lo de pedir cita por teléfono para que te llamen por teléfono es normal, lo que estás haciendo es apuntarte en una lista para que te atienda el médico, como siempre. El problema es que hay cosas que no se pueden atender por teléfono y hay médicos que son reticentes a atenderte en persona pero por lo demás es un gran invento, antes el centro estaba lleno de gente que se pasaba allí la mañana para recibir una simple receta, ahora esos no hace falta que vayan y el centro está despejado para los que sí lo necesitan.
deberias de estar agradecido con la existencia de la seguridad social ,porque si te da una enfermedad grave de costoso tratamiento es a donde te mandara tu querida adeslas.
ademas que si no existiese la sanidad publica los seguros privados aumentarian su precio de forma imparable mientras dejaria a gente morir porque sus tratamientos no son asumibles.
no hay que privatizar la seguridad social sino quitar corruptelas como las administraciones paralelas y los cargos a dedo.
No veo por qué ahí no os dejan hacerlo por internet si viene a ser lo mismo que por teléfono, si no hay cita o no te quieren dar cita, también te la pueden negar a través de Internet, no veo por qué os quitaron esa opción.
En cuanto a que las citas sean por teléfono, por un lado está bien porque así nos damos cuenta de que para muchas cosas no es necesario ir al médico, antes el centro estaba lleno por gente que solo iba a pasar la receta, pero por el otro es una gran putada porque la sanidad se ha degradado, te preguntan los síntomas y te dicen "ah, pues debe de ser esto, tómate esta medicina" y hay médicos que no tienen muchas ganas de atenderte en persona.
Sí, el diagnóstico por teléfono salvo alguna excepción no es buena idea, eso de que estés describiéndole los síntomas por teléfono no lo veo muy adecuado.
A lo que yo me refiero es que a parte de eso vamos al médico por cosas que sí se pueden hacer por teléfono. Las recetas que tú dices que nadie ve un problema, aquí mucha gente mayor antes de la pandemia seguía yendo al médico a renovar las recetas, a pesar de que no hacía falta.
Luego están informes que le pides al médico que él te los hace y tú vas al centro a recoger un papel cuando podrías recogerlo a través de Internet. Claro que hay mucha gente que ni siquiera tiene internet pero otros que sí tienen van igualmente.
También está el ir al médico a saber el resultado de las pruebas que te hicieron en el hospital o en el consultorio mismo. Eso consiste en que el médico habla contigo, nada más, y hablar lo puedes hacer por teléfono.
Diagnosticar no pero hay cosas que ahora al vernos obligados descubrimos que se pueden hacer sin ir al médico.
En nuestro caso este año habremos parado ya más de 50 ejecuciones de ramson gracias a las diferentes capas de protección que tenemos y no hemos tenido ni un solo caso de encriptacion.