#7 LOL

#18 los bitcoins son el material del que hacen los sueños!

#10 sí que hay políticas de cómo y dónde guardar los datos, si un usuario no hace caso se remaqueta el portátil y los datos se dan por perdidos. Si los datos eran importantes el empleado va a la calle por no seguir las políticas de la empresa.

#91 si alguien en tu lan tiene un ordenador vulnerable y los ordenadores infectados tienen carpetas compartidas puede perfectamente haber sido infectado desde otro ordenador.

#94 Pero eso depende de la gente, ten en cuenta que es una tecnología disruptiva que tiene a unos enemigos enormes que son los bancos. La fama negativa es una que interesa sobre todo a bancos, casas de moneda, FMI, etc....
La gente ve a la criptomoneda como algo de ricos especuladores capitalistas, y en parte es asi, pero en su nucleo es anarquista, revolucionario y descentralizador

#37 Mi no entender

#3 @admin

#40 no sé dónde saca esa información pero, que yo sepa, Accenture no se ha visto afectado.

#94 sagerao, yo le pagué a mi novia rusa el viaje a España por bitcoin y ahora estoy esperando en Barajas a que llegue.


Me ha dicho que el vuelo va con retraso pero que espere un poco que ahora llega...

#70 no soy experto, pero por mucho que tengas todo preparado te puedes proteger de los ya existentes y conocidos, pero de los nuevos virus o vulnerabilidades no. Por tanto parece lógico tomar precauciones.

#6 No es tan fácil. Yo soy directivo de una gran empresa, cuando hemos tenido algún ataque a veces no te queda más que pagar. El último caso que recuerdo afectaba a los ordenadores personales, pero además encriptaba los ficheros que estaban compartidos en red, así aunque los servidores no estaban "afectados" todo el contenido compartido sí.
Haces cuenta entre unos miles de ordenadores, coste de recuperar backups, cerrar hospitales o limitar la atención, horas de los equipos técnicos invertidas y salía mucho, muchísimo más barato pagar.
No te hablo de España, donde desconozco cual es la política a seguir, pero el primero en presionar que no pagues con los organismos federales, porque total, a ellos no les va a costar dinero y coste de oportunidad.

#110 si la vulnerabilidad que usa esta parcheada no se puede usar para propagar malware.

#26 ¿Qué se puede pagar con criptomonedas? Es para saber

Gracias!

#26 No es un cuchillo, es una pistola. Es decir, para qué un ciudadano normal necesita una pistola?

#111 Mejor no digas aquí de qué empresa, porque si has pagado una vez, ya saben dónde meterse otra vez para pedir más pasta.
Deberíais tener un plan de contingencia para recuperar los servicios críticos, puede ser por un ransomware o por dos rayos que caigan donde guardáis los servidores. Lo importante es tener las cintas de backup aisladas y establecer y probar un rpo y un rpt correcto.
Respecto a los portátiles de los empleados, los usuarios deberían de tener sus ficheros importantes en algun sharepoint ADEMÁS de en sus portátiles. Se les puede joder por un ransomware o se les puede joder porque les explota la pila del portátil.

#104 No es el caso y son ordenadores que sé perfectamente que estaban con todos los parches aplicados. De momento hay que esperar confirmación, pero seguramente lo de Bluekeep es un bulo, las sospechas van en otra dirección.

#112 pero hasta que te enteras de qué está pasando es la medida más lógica.

#117 son pocos o muchos los ordenadores parcheados infectados? si son pocos igual es el tipico caso de PEBKAC

#61 si fuera tan sencillo determinar que son peligrosos todo el mundo lo haría. Por otro lado, no siempre se usan adjuntos para estas cosas, un link a Internet y un poco de ingeniería social obran maravillas.

#59 a un amigo no le desencriptaron nada cuando pagó. Es una empresa familiar y solo le pedían 3000€, le dije que no pagase, no me hizo caso y ahora tiene 3000€ menos y sigue sin sus datos...

#113 Puedes comprar fiat y luego lo que quieras, o directamente, por ejemplo en:
coinmap.org
www.lieferando.de
www.bitrefill.com

#120 lo se, lo se, pero lo mas normal es tener bloqueados los tipos conocidos en cuanto a los links, whitelist a las paginas que necesitan acceder los empleados y bloqueadas las demas.

#111 es obvio que si la segmentación de la red es una mierda, o directamente inexistente, estos ataques pueden afectar a todos los servidores, incluidos los de backup.

#116 No te preocupes, la empresa es conocida a nivel mundial y lamentablemente ya fuimos portada.
El mayor problema como indico no es en sí los datos, ya que los importantes, los datos sanitarios y financieros, están bien resguardados. El problema es el tiempo que se tarda en tener operativos nuevamente a miles de médicos y enfermeros, se restaura una imagen (disculpa pero yo soy médico, no se qué terminología usan los informáticos) que es virgen y les permite trabajar nuevamente, pero eso supone unos 30 o 40 minutos por cada puesto, y no puedo tener miles de ordenadores inmovilizados para estas contingencias.
Particularmente el gasto del rescate me parecía insignificamente, me dolía más en el orgullo, pero el orgullo no da de comer a miles de empleados.

#27 yo he pensado algo parecido. Después he visto el dominio de la noticia y he pensado si alguien habría comprado ese dominio para escribir noticias sensacionalistas en contra del Bitcoin. No entiendo por qué se relaciona la acción de los hackers con la criptografía o por qué lo toman como una cosa negativa para el Bitcoin. Es un problema de seguridad informática y al Bitcoin, aparte de un poquito de mala fama, le aporta bastante credibilidad en cuanto a su capacidad de anonimato.

#119 Lo desconozco, la verdad, no trabajo en el departamento que se encarga de esto; pero sí sé que se han infectado ordenadores de gente que se dedica precisamente a la seguridad, con muchos años de experiencia y con bastante conocimiento, así que dudo que hayan cometido un error así. De momento, sólo queda esperar para descubrir la causa, pero no creo que haya sido por algo trivial, el tiempo dirá

Había un exploit publicado desde septiembre. Sin palabras

#96 No es un zeroday

#96 que es un zeroday?

#110 Publicado en mayo. Exploit PÚBLICO desde septiembre.

Alguien no ha hecho su trabajo...

#113 en muchos sitios aceptan cripto. Incluso en tiendas de barrio un poco adelantadas

#53 Si no tiene privilegios, como debe ser, solo se jode a sí mismo.

#130 es.wikipedia.org/wiki/Ataque_de_día_cero

#114 tienes tarjeta de crédito? para que la quieres si tienes monedas?
Que tu no uses algo no quiere decir que sea inutil, por ejemplo, si tienes que enviar dinero a tu familia que esta en otro pais con Bitcoin lo haces sin tener que darle un dineral en comisiones a un banco

Algún trabajador que se ha creído lo de que tenían un vídeo suyo masturbándose porque había entrado en una página porno...

#35 Lo mismo estaba pensando yo.

Mi ordenador ya puede arder que como mucho perderé algún borrador de informe que por algún motivo no esté en el servidor y trabajo en una administración.

#3 Calla, anda, que vas a salir salpicao.

#3 En algunos casos la tendrán, pero en este se habla de una vulnerabilidad que ya fue parcheada en Mayo, así que algo ha fallado.

#111 Y, Lo más importante, ¿Qué aprendisteis? ¿Qué plan tenéis si vuelve a pasar?

Se supone que una empresa IT no debería de aprender de ese error, debería de estar preparada por defecto con copias de seguridad e imágenes listas para ser desplegadas y guardadas fuera de la red en servidores no Windows. En otros sectores es un error comprensible del que se aprende, no se cual será tu sector.

#61 De primero es hacer y gestionar bien los backups, ...

#111 Es muy fácil. Backup decente, y se acaba el problema. Todo lo demás son excusas para justificar la ineptitud y pagar.

#8 No

#141 tambien y segmentar redes, limitar usuarios, asegurarse que los backups funcionan

#102 ¿Los sueños están hechos de especlación y humo?

#113 ¿Droga? Con un uso es más que suficiente.

#8 dale tiempo

#133 Si tiene acceso a recursos compartidos puede joder a mucha gente

#144 "asegurarse que los backups funcionan", ¡qué bonito es el mundo cuando funciona!

#85 yo me he reincorporado de una baja tras varios meses con el ordenador portátil apagado. Te puedes imaginar que no tenía todos sus parches.

#149 en una empresa donde fui tenian programadas copias de seguridad de todo, pero las copias de seguridad habian dejado de funcionar 2 años antes

#34 Parece que es el Squirrel/Nuget Exploit aplicado en Microsoft Teams. Básicamente consigues que entre nuget y squirrel se bajen e instalen un paquete de actualización, y entonces consigues privilegios de administrador.

Seguro que ahora los de Everis que dijeron "¡Hay que migrar de Slack a Teams porque es más seguro!" se están tirando un poquito de los pelos.

#139 Pero vamos a ver, que no es la vulnerabilidad de la que hablan, que eso se lo están inventando, en la empresa tienen los sistemas actualizados.

Lo que pasa es que todo el mundo lo sabe todo de repente.

#131 no lo dudo. Pero desde que lo tienes hasta que identificas qué pasa y cuál es deben tomar medidas de contingencia.

#153 Yo solo me baso en lo que se ha sabido hasta ahora, y mucha gente piensa que ha sido explotada esa vulnerabilidad.

De ser una zero day, me sorprendería que no hubiesen caído ya muchos más objetivos.

#61 El bloqueo de adjuntos peligrosos se lo pasa por el forro poniendo una password al zip. O renombrando.

#145 de chicas ligeras de ropa y barcos pagados sin esfuerzo.

Asi que, si!

#156 si un zip o rar tiene contraseña y no se puede analizar a cuarentena directo y si el sysadmin es bueno analisis de header para ver si lo que mandan es lo que realmente es.

#141 Da igual. Puedes acabar guardando en backup archivos cifrados por ransomware durante meses y meses.
Para cuando te das cuenta has perdido los datos de meses de trabajo.

#133 Siempre hay alguien que tiene privilegios y accede a todo o casi todo.
Entre un puñado de cargos tienes acceso a todos los archivos de la red local.
Y precisamente los cargos son a los que no hay manera de meter en la cabeza que las restricciones son para todos o no hay seguridad que valga.

#137 A lo mejor estaría bien saber exactamente qué tipos de archivo se han visto afectados...

#159 En "gestionar bien los backups" incluye también la comprobación periódica de los mismos.

Estaba pensando que si han atacado los servidores de everis, seguro que algún empleado va a tener que quedarse hasta tarde para arreglarlo.

#4 Se escucha como encriptado, no se si me explico

#162 No me has entendido. No se trata de que el backup esté mal grabado.
De lo que se trata es de que hay miles de millones de archivos y los usuarios trabajan con unos pocos. Si el ramsomware crifra el resto, no se enteran.

Accenture también está afectado

#164 si solo se escucha encriptado desde la sede central de Madrid

#165 Tiene que estar bien grabado, y ser coherente. Si el ramsomware cifra, tienes que darte cuenta porque el backup no válido.

#66 everis era ya eso cuando se llamaba de otra forma. Siempre fue la punta de lanza de las cárnicas. Recuerdo una de mis primeras entrevistas allí, ya sin conocerte ni contarte de que iba el puesto, te daban una charla de "cultura empresarial" que básicamente consistía en avisarte que ibas a hacer más horas de un tonto y que si te negabas no te molestases en seguir.

Que haya pasado esto en everis es algo absolutamente normal.
Everis, bajo mi punto de vista y con conocimiento de causa es un desastre como empresa.
Pero los contactos lo son todo y es probable que esta cagada no les pase factura en ningún sentido.
Y por supuesto no mejorarán su seguridad, para qué? Si van a conseguir los proyectos de la misma forma.

#26 También podías pagar tus gastos con dinero normal... pero es más complicado para ciberdelincuentes pedir rescates con dinero real a una cuenta de banco, se puede rastrear y bloquear por las autoridades.

#91 trabajas en everis?
Porque yo trabajé en everis, ya hubo un problema con Ramsonware y no hubo ningún tipo de mejora de la seguridad. Se apagaron los ordenadores, parche que corresponde y a correr

#6 como excliente de everis... lo que me sorprende es que hayan tardado tanto en caer

#105 Las criptomonedas ofrecen muy poco al ciudadano de a pie que paga sus impuestos, son solo una forma de pago más con una moneda de valor oscilante nada fiable que pocos negocios aceptan...
...pero para los que evaden impuestos o cibercriminales, el anonimato y descentralizacion de la moneda es la hostia.

Como ciudadano ordinario, creo que estaríamos mejor sin ellas.

#169 a mí me dijeron que el boli en everis “no se caía”
A mí por supuesto que se me caía pero la de horas que echa allí la gente... tiene que ser un descojono lo del control horario.

#45 los que menos culpa tienen son los trabajadores

#26 Lo mismo tú puedes explicarme esto: cuanta más potencia de cálculo se usa para minar bitcoins, más transacciones se pueden hacer por minuto... pero entonces, de algún modo automático, se "endurecen" las condiciones para encontrar un hash válido para evitar que en el futuro sea demasiado fácil minar...

Pero entonces eso automáticamente invalidaría el bitcoin para el uso diario porque artificialmente las transacciones se deben ralentizar, con lo que no tienen la flexibilidad de las transacciones bancarias normales (millones de personas usando sus tarjetas de débito/credito cada día para hacer la compra, pagar nóminas, etc...).

¿Qué es lo que falta en este escenario? Porque por lo poco que sé de cómo funciona, me parece un juguete para especular o para mover dinero negro en la "deep web", poco útil para el resto.

#52 va a tener everis alguna consecuencia?

#110 lógico no. Es imprescindible tomarlas. Primero, todos los sistemas actualizados, y los que no lo puedan estar (por tener sistemas de producción en los que haya que hacer pruebas antes de parchear, pues te aseguras periódicamente de que están limpios y que no tienen regalos, hasta que parchees.
Copias de seguridad, de todo, periódicas. Si haces una copia cada 2 meses y eso no es suficiente sería como no tener copia.
Personal medianamente entrenado con pruebas periódicas (simulacros)

Cuando pasa algo así ya es tarde para hacer la copia de seguridad o meter al especialista.

#168 A ver así:
Tienes mil archivos en 100 directorios. Trabajas con 5 -10 a lo sumo.
¿Como te enteras de que el ramsomware te ha cifrado los otros 990 archivos?
Nadie está hablando de que el ramsomware cifre el backup, hablo de que cifre los archivos que van al backup.

#20 o algún pincho usb en el parking...

#44 de ese modo evitas la propagación. Las máquinas afectadas seguirán cifrando sus datos mientras sigan en funcionamiento.

#171 tambien podrías comer la carne con las manos, pero es más complicado matar a gente con la mano que con un cuchillo.

#174 "Como ciudadano ordinario" ... y que lo digas , por qué si no fueras una persona ordinaria, por ejemplo pongamos el lider de una empresa, podrías usar el sistema actual para no pagar impuestos dejando tu dinero en un paraiso fiscal. No hace falta criptomoneda para evadir impuestos, hace falta dinero para evadir impuestos

#109 Ojo, que a Borja Pérez y Fernando Alonso les salió bien lo de la novia rusa...

Tweet de Accenture:
"Os confirmamos que Accenture NO ha recibido ningún ciberataque y que estamos operando con absoluta normalidad"

twitter.com/AccentureSpain/status/1191360976458833920

De Everis, por lo que me ha llegado de compañeros, sí que podría haber ordenadores infectados.

cc #91

#177 hay más cripto que Bitcoin y el problema que comentas ya se solucionó este verano con LN

#182 normalmente para cuando te has enterado de que estas afectado por un ramsomware es que ya acabado el trabajo y procedido al wipe de los ficheros elegidos.

#180 No creo que sea tan difícil mirar el % de ficheros cifrados en esos 990 archivos, y lanzar una alerta cuando pasen de un número razonable.

A ver si ahora no vamos a saber ni comprobar la integridad de un backup.

#156 El renombrado sirve de poco, desde hace años se identifica por el formato no por la extensión.
Algunos AVs ya eran capaces de hacer OCR sobre el mensaje buscando posibles passwords para comprimidos cifrados (hace años). Otros AVs filtran los propios comprimidos cifrados y en último extremo, el comprimido tienes que descomprimirlo para obtener el contenido; en esa fase también se puede analizar.

#160 Con buenas prácticas no.

#56 Ese tipo de consultoras te contratan y te envían al cliente con un portátil que, con suerte, está recién formateado. Y a partir de ahí, Dios proveerá. Prácticamente a nadie le importa lo que hagas con el, salvo que lo pierdas, que entonces hay que comprar otro y eso es malo.

Algunas veces alguien de sistemas y seguridad consigue que le haga algo de caso y quita privilegios a los usuarios, pero los programadores necesitan ser administradores o sea que bien pronto se pegan la seguridad y a currar

#185 todo va por buen camino, me ha pedido que le mande un par de bitcoins mas, que al parecer tienen que desviarse un poco y asi puede comprar un agua y unos ganchitos en el avion. ¡Si que son caros en Aeroflot!

Me lo compensara al llegar.

#191 Cargos/VIPs y buenas prácticas no son miscibles.

#94 sólo hay que mirar los cambios bitcoin/dólar para darse cuenta de que esto es pura especulación

#28 y esos 10Tb se han quedado comprimidos también en apenas 700MB

#189 No creo que sea tan difícil mirar el % de ficheros cifrados en esos 990 archivos, y lanzar una alerta cuando pasen de un número razonable.
Explicame detalladamente como pretendes hacer eso.
Por ejemplo:
Si yo te cojo un zip y le pongo contraseña, ¿Como sabes si la contraseña la ha puesto alguien autorizado o el ramsomware?
Si cojo un documento en excel y protejo todas las celdas con contraseña ¿Como sabes si la contraseña la ha puesto alguien autorizado o el ramsomware?
Etcétera.
Creo que crees que tienes las cosas infinitamente más claras de lo que en realidad las tienes.

A ver si ahora no vamos a saber ni comprobar la integridad de un backup.
Por tercera vez consecutiva tengo que repetirte que no estoy hablando de la integridad del backup, si no de la integridad de los datos antes de entrar en el backup.

#197 Lo haces por porcentaje. Si sabes que tienes un 0.2% de ficheros cifrados, por ejemplo, en cuanto el umbral sube, sabes que algo puede ir mal, y saltan las alarmas para comprobar si estás en lo cierto.

Tengo las cosas muy claras, y solo veo inútiles pagando rescates.

Si no haces pruebas de que lo que tienes en el backup, es lo que debes de tener, estamos jodidos.

#3 Everis seguridad?

Consultor detected!!!!!

#186 podria? hay, tengo captura de pantalla