Ya se ha convertido en lo que sería uno de los días negros a escala mundial para la criptografía. Es imposible no relacionar el ataque a el Grupo Prisa con el que ha afectado a Everis, ambos esta madrugada. El rescate es una fortuna.
|
etiquetas: bitcoin , ransomware , virus , everis , rescate
La gente ve a la criptomoneda como algo de ricos especuladores capitalistas, y en parte es asi, pero en su nucleo es anarquista, revolucionario y descentralizador
Me ha dicho que el vuelo va con retraso pero que espere un poco que ahora llega...
Haces cuenta entre unos miles de ordenadores, coste de recuperar backups, cerrar hospitales o limitar la atención, horas de los equipos técnicos invertidas y salía mucho, muchísimo más barato pagar.
No te hablo de España, donde desconozco cual es la política a seguir, pero el primero en presionar que no pagues con los organismos federales, porque total, a ellos no les va a costar dinero y coste de oportunidad.
Gracias!
Deberíais tener un plan de contingencia para recuperar los servicios críticos, puede ser por un ransomware o por dos rayos que caigan donde guardáis los servidores. Lo importante es tener las cintas de backup aisladas y establecer y probar un rpo y un rpt correcto.
Respecto a los portátiles de los empleados, los usuarios deberían de tener sus ficheros importantes en algun sharepoint ADEMÁS de en sus portátiles. Se les puede joder por un ransomware o se les puede joder porque les explota la pila del portátil.
coinmap.org
www.lieferando.de
www.bitrefill.com
El mayor problema como indico no es en sí los datos, ya que los importantes, los datos sanitarios y financieros, están bien resguardados. El problema es el tiempo que se tarda en tener operativos nuevamente a miles de médicos y enfermeros, se restaura una imagen (disculpa pero yo soy médico, no se qué terminología usan los informáticos) que es virgen y les permite trabajar nuevamente, pero eso supone unos 30 o 40 minutos por cada puesto, y no puedo tener miles de ordenadores inmovilizados para estas contingencias.
Particularmente el gasto del rescate me parecía insignificamente, me dolía más en el orgullo, pero el orgullo no da de comer a miles de empleados.
Alguien no ha hecho su trabajo...
Que tu no uses algo no quiere decir que sea inutil, por ejemplo, si tienes que enviar dinero a tu familia que esta en otro pais con Bitcoin lo haces sin tener que darle un dineral en comisiones a un banco
Mi ordenador ya puede arder que como mucho perderé algún borrador de informe que por algún motivo no esté en el servidor y trabajo en una administración.
Se supone que una empresa IT no debería de aprender de ese error, debería de estar preparada por defecto con copias de seguridad e imágenes listas para ser desplegadas y guardadas fuera de la red en servidores no Windows. En otros sectores es un error comprensible del que se aprende, no se cual será tu sector.
Seguro que ahora los de Everis que dijeron "¡Hay que migrar de Slack a Teams porque es más seguro!" se están tirando un poquito de los pelos.
Lo que pasa es que todo el mundo lo sabe todo de repente.
De ser una zero day, me sorprendería que no hubiesen caído ya muchos más objetivos.
Asi que, si!
Para cuando te das cuenta has perdido los datos de meses de trabajo.
Entre un puñado de cargos tienes acceso a todos los archivos de la red local.
Y precisamente los cargos son a los que no hay manera de meter en la cabeza que las restricciones son para todos o no hay seguridad que valga.
De lo que se trata es de que hay miles de millones de archivos y los usuarios trabajan con unos pocos. Si el ramsomware crifra el resto, no se enteran.
Everis, bajo mi punto de vista y con conocimiento de causa es un desastre como empresa.
Pero los contactos lo son todo y es probable que esta cagada no les pase factura en ningún sentido.
Y por supuesto no mejorarán su seguridad, para qué? Si van a conseguir los proyectos de la misma forma.
Porque yo trabajé en everis, ya hubo un problema con Ramsonware y no hubo ningún tipo de mejora de la seguridad. Se apagaron los ordenadores, parche que corresponde y a correr
...pero para los que evaden impuestos o cibercriminales, el anonimato y descentralizacion de la moneda es la hostia.
Como ciudadano ordinario, creo que estaríamos mejor sin ellas.
A mí por supuesto que se me caía pero la de horas que echa allí la gente... tiene que ser un descojono lo del control horario.
Pero entonces eso automáticamente invalidaría el bitcoin para el uso diario porque artificialmente las transacciones se deben ralentizar, con lo que no tienen la flexibilidad de las transacciones bancarias normales (millones de personas usando sus tarjetas de débito/credito cada día para hacer la compra, pagar nóminas, etc...).
¿Qué es lo que falta en este escenario? Porque por lo poco que sé de cómo funciona, me parece un juguete para especular o para mover dinero negro en la "deep web", poco útil para el resto.
Copias de seguridad, de todo, periódicas. Si haces una copia cada 2 meses y eso no es suficiente sería como no tener copia.
Personal medianamente entrenado con pruebas periódicas (simulacros)
Cuando pasa algo así ya es tarde para hacer la copia de seguridad o meter al especialista.
Tienes mil archivos en 100 directorios. Trabajas con 5 -10 a lo sumo.
¿Como te enteras de que el ramsomware te ha cifrado los otros 990 archivos?
Nadie está hablando de que el ramsomware cifre el backup, hablo de que cifre los archivos que van al backup.
"Os confirmamos que Accenture NO ha recibido ningún ciberataque y que estamos operando con absoluta normalidad"
twitter.com/AccentureSpain/status/1191360976458833920
De Everis, por lo que me ha llegado de compañeros, sí que podría haber ordenadores infectados.
cc #91
A ver si ahora no vamos a saber ni comprobar la integridad de un backup.
Algunos AVs ya eran capaces de hacer OCR sobre el mensaje buscando posibles passwords para comprimidos cifrados (hace años). Otros AVs filtran los propios comprimidos cifrados y en último extremo, el comprimido tienes que descomprimirlo para obtener el contenido; en esa fase también se puede analizar.
Algunas veces alguien de sistemas y seguridad consigue que le haga algo de caso y quita privilegios a los usuarios, pero los programadores necesitan ser administradores o sea que bien pronto se pegan la seguridad y a currar
Me lo compensara al llegar.
Explicame detalladamente como pretendes hacer eso.
Por ejemplo:
Si yo te cojo un zip y le pongo contraseña, ¿Como sabes si la contraseña la ha puesto alguien autorizado o el ramsomware?
Si cojo un documento en excel y protejo todas las celdas con contraseña ¿Como sabes si la contraseña la ha puesto alguien autorizado o el ramsomware?
Etcétera.
Creo que crees que tienes las cosas infinitamente más claras de lo que en realidad las tienes.
A ver si ahora no vamos a saber ni comprobar la integridad de un backup.
Por tercera vez consecutiva tengo que repetirte que no estoy hablando de la integridad del backup, si no de la integridad de los datos antes de entrar en el backup.
Tengo las cosas muy claras, y solo veo inútiles pagando rescates.
Si no haces pruebas de que lo que tienes en el backup, es lo que debes de tener, estamos jodidos.
Consultor detected!!!!!