Ya se ha convertido en lo que sería uno de los días negros a escala mundial para la criptografía. Es imposible no relacionar el ataque a el Grupo Prisa con el que ha afectado a Everis, ambos esta madrugada. El rescate es una fortuna.
|
etiquetas: bitcoin , ransomware , virus , everis , rescate
La criptomoneda es como los cuchillos, no aparecen en las noticias cuando te haces un bocata, aparecen cuando un loco mata a su pareja con un cuchillo, pero nadie culparía al cuchillo, no?
Como dato adicional, la vulnerabilidad bluekeep se aprovecha de un agujero de seguridad en RDP (lo estes usando o no) que fue parcheada en mayo, lo que significa que tienen sistemas sin actualizar desde hace al menos medio año (probablemente mas o nunca), lo que denota su pésima política de actualizaciones.
El portátil de trabajo de Everis que esta usando mi conocido es un windows 10 bastante antiguo.
Y eso se repite eternamente.
Todos somos muy buenos... A toro pasado.
cc/ #44
Primero cortas de raíz la propagación del problema y cuando sepas de qué se trata ya ves si existe parche.
El problema que yo veo es, que datos en mano, el uso de criptomonedas para realizar pagos legítimos es anecdótico, que la mayor parte de su valor es especulativo, y que encima sirven para que chorizos puedan cometer delitos y exigir rescates desde el anonimato.
Obviamente, hay mucha gente desencantada con estas empresas, pero de ahí a decir que no hay ningún control y que de esto se encarga el becario de turno... por favor, seamos serios
Qué chungo debe ser.
Haces cuenta entre unos miles de ordenadores, coste de recuperar backups, cerrar hospitales o limitar la atención, horas de los equipos técnicos invertidas y salía mucho, muchísimo más barato pagar.
No te hablo de España, donde desconozco cual es la política a seguir, pero el primero en presionar que no pagues con los organismos federales, porque total, a ellos no les va a costar dinero y coste de oportunidad.
La gente ve a la criptomoneda como algo de ricos especuladores capitalistas, y en parte es asi, pero en su nucleo es anarquista, revolucionario y descentralizador
todo dato sensible se accede en servidores. Meter 5 copias según el entorno de trabajo y clonar 400 pcs es lo de menos, nadie va a pagar millones por eso.
Con el wanacry pagaron 16 y 17 de los afectados, creo recordar (quizás me equivoque, no recuerdo bien la cifra, pueden ser menos).
Primero restaurarán de backup todo lo que puedan. Si hay algo muy crítico que no se puede restaurar ya valorarán si pagar o no.
"Os confirmamos que Accenture NO ha recibido ningún ciberataque y que estamos operando con absoluta normalidad"
twitter.com/AccentureSpain/status/1191360976458833920
De Everis, por lo que me ha llegado de compañeros, sí que podría haber ordenadores infectados.
cc #91
Aparte de que cuando un equipo está infectado no puedes dejarle acceso a ningún servidor, lo único que haces es guardar el virus...
El ataque habrá podido tener lugar hoy, pero puede haber documentos infectados esperando el momento de activar el ataque desde hace meses, y ahí seguirán, junto a los backups.
Vale, no te pegarán el tirón con la moto pero... No inspira confianza.
www.meneame.net/story/wallapop-ha-sido-hackeado-tendras-cambiar-contra
Me ha dicho que el vuelo va con retraso pero que espere un poco que ahora llega...
coinmap.org
www.lieferando.de
www.bitrefill.com
Gracias!
La razón por la que mantener los equipos encendidos son:
1. Algunos Ransomwares encriptan los archivos a en el reinicio o apagado del equipo, por lo cual manteniendolos encendidos daría la posibilidad de hacer una copia de los datos (Especialmente documentos de texto, hoja de calculo, etc).
2. Mantener el equipo encendido puede ayudar a recuperar "snapshots" o copias de seguridad que han sido (muy probablemente) eliminadas por el Ransomware pero que no han sido eliminadas físicamente del disco.
3. Desde el punto de vista forense, poder analizar un equipo que todavía no ha sido inutilizado puede servir con fines de investigación e incluso en algunos casos han ayudado a desencriptar los archivos de otros equipos.
En vez de dar orden de apagar los equipos, se debería dar orden de hacer copias de los documentos y archivos importantes antes de nada.
Everis en Murcia tiene ya más de mil personas trabajando, sólo en Murcia, cuando hace dos años eran setecientas. Lo sé porque tengo amigos currando allí. Ese crecimiento no lo ganas haciendo las cosas mal. No es posible obtener esos resultados si sólo tienes "monos que no diferencian un ordenador de un botijo".
Everis va bien gracias a un puñado de analistas y buenos profesionales que valoran más que el salario cosas como la estabilidad y seguridad laboral (saber que no te van a despedir porque se acabe un proyecto, ya que los tienen a patadas), la cercanía a tu casa (para mucha gente de Murcia y alrededores, irse a Madrid o Valencia supone un trauma) o "trepar" en la empresa (esto también me lo han contado amigos míos, que hay mucho trepa que valora más el tener un puesto "importante" que lo que pueda ganar con él). Everis se aprovecha de eso pagándoles una mierda y sobrecargándolos con juniors a los que tienen que enseñar (aparte de hacer su trabajo) pero que enseguida empiezan a ser productivos y no obstante siguen cobrando cuatro perras. Luego éstos se van a otras empresas y Everis ficha a nuevos juniors para reemplazarlos, pero los que ya han llegado a senior, analista o similares, ya se han acomodado allí y es raro que se vayan. Y es en esa gente en la que realmente está la explicación de que Everis pueda no sólo funcionar sino también crecer, pagando lo que paga.
Perderás los cambios del día, como mucho.
la web de la SER sigue funcionando aunque no se si normalmente
Luego se quedarán en la versión de Windows 10 que les pongan otros 18 años, supongo.
Luego toca desmontar el disco duro de cada equipo y analizarlo antes de volver a encender.
De ser una zero day, me sorprendería que no hubiesen caído ya muchos más objetivos.
CC/ #198 Digo yo que así se puede saber.
Por otro lado, a lo mejor por extensión. El malware suele cambiar la extensión, entonces si aparecen extensiones raras, algo ha pasado.
Lo de las extensiones es cosa mía pero lo de detener el backup cuando hay muchos archivos alterados es algo normal.
Algunas veces alguien de sistemas y seguridad consigue que le haga algo de caso y quita privilegios a los usuarios, pero los programadores necesitan ser administradores o sea que bien pronto se pegan la seguridad y a currar
www.elconfidencial.com/tecnologia/2017-05-12/hackeo-ataque-red-telefon