Un correo interno publicado en Twitter habla de 3.100 servidores Windows afectados. La compañía habría pedido a los empleados que desconecten los ordenadores, incluyendo cajas registradoras, de la red para evitar la extensión del ataque.
|
etiquetas: mediamarkt , ransomware , ataque , informática
Por cierto.. buena planificación de los atacantes al darles antes del BlackFriday. Así la empresa será más proponesa a pagar el rescate al tener más que perder
Por cierto.. buena planificación de los atacantes al darles antes del BlackFriday. Así la empresa será más proponesa a pagar el rescate al tener más que perder
Si vas a comprar cosas que no necesitas simplemente porque están de oferta no puedo ayudarte.
Por lo tanto sí es viable para el atacante decidir la fecha en la que se activa, pero aún así dudo que hayan ido al nivel de detalle de pensar en el Black Friday.
Por lo que tengo entendido ahora lo que hacen es introducirse, destruir o dañar las copias de seguridad y luego lanzar el ataque.
Esto unido a que los sistemas por eficiencia se conectan más hace que infectar un punto de la cadena suele infectar el sistema por completo.
Esta moneda se utiliza para otras muchas cosas buenas y en cuanto al uso fraudulento es difícil hacerlo bien para que no te pillen, precisamente por lo difícil que es blanquear el dinero una vez se tiene y también porque hay monedas como bitcoin que necesitan de ocultar su rastro.
En caso de prohibir btc, seguiría pasando pero con otro objeto para el intercambio.
Mi conclusión es que hay ciertos sistemas que hay que tener separados. Que si en una central nuclear se tiende a tener 0 conexiones con el exterior es por algo.
Y si no, pues a tener un buen equipo informático que configure y mantenga backups al día.
Pues eso no está tan claro cuando se trata de hacer valer la garantia de un producto en un país diferente al que lo compraste y pasan de tí, o quieres comprar la tele en el Mediamarkt al otro lado de la frontera porqué la tienen 200€ más barata y te dicen que nanai, que son empresas diferentes.
Y, efectivamente, en España tenemos a MediaMarkt Online S.A.U., Edificio Prima Muntadas - C/ Solsonés 2 Puerta C, 08820 El Prat de Llobregat, Barcelona, mientras que en Alemania está MMS E-Commerce GmbH Wankelstraße 5 85046 Ingolstadt (que también es propietaria de Saturn, por cierto). Lo mismo pasa con los bancos o las compañías de telefonía, la misma marca, pero teoricamente empresas diferentes, que luego resulta que cuando les interesa son la misma y cuando no, no tienen nada que ver.
¿Por qué me parece esto importante? Pues porqué tiene un efecto en los derechos de los consumidores, los derechos laborales, la recaudación de impuestos, las leyes anti-monopolio y un largo etcétera y los propietarios de las grandes marcas hacen malabares con eso para aprovecharse todo lo que pueden.
Al final resulta que vas a una tienda de cierta cadena a comprar un producto de una marca que te parece "buena" y resulta que ese producto lo fabrican unos currelas que cobran lo mínimo y ni saben para que marca estan produciendo, para que luego alguien lo envie al otro lado de Europa, le peguen el logo de la marca que toca en ese país, lo manden a una tienda en la que te lo venden otros currelas que cobran lo mínimo, y los beneficios de esa venta se pierdan en un mejunje de empresas y marcas y acaben declarandose en Irlanda o otro entramado fiscal en el que apenas se recauda nada.
Pero vamos, que realmente llevan en la red un mes y lanzan la operación el viernes por la tarde, no es que lo lancen con delay.
www.netskope.com/es/blog/hive-ransomware-actively-targeting-hospitals#
Trasponiendo al mundo de la seguridad física cuando dejes de tener uan cerradura normal y pongas una de cámara acorazada no te entrarán en casa. La diferencia es que un atacante en el mundo real no puede entrar a la vez en múltiples comunidades de vecinos para ver si tienen cerraduras de la marca que a él se le da bien abrir o alarmas de la marca que sabe desactivar con los ojos cerrados. En el mundo digital ese paseo para encontrar a víctimas potenciales se lo da en un día.
Hay que defenderse bien, pero la culpa no es de la víctima. O de si utilizan Windows o no.
De descuentos ni idea.
A ver si va a resultar que tenemos que prohibir el dinero en metálico, porque se usa para cometer delitos.
Pero como el bitcoin no vale para esas cosas, pasa lo que pasa.
CC. #17
Curiosamente estube mirando una tele hace unas semanas, varios modelos similares y los precios era approx: 700 y 850.
Hace 2 dias mire de nuevo y la de 700 esta a 850, y la de 850 a 999.
Curiosamente lo mire por si me salia un black friday con descuento; y claramente no me sorprendi cuando vi que ya habia empezado el timo.
Lo que no se puede es pretender vivir como un noruego, pero con clima mediterráneo y precios de Bangladesh
En caso de tener que usar una cripto "para el mal", yo no la usaría por anonimicidad. La usaría porque es algo que no me pueden quitar ni aunque me pillen (descentralizada) y está siendo bastante utilizada.
Por otra parte, su legitimidad no creo que vaya ligada a poder ser razonablemente trazable, ya que darme seguridad implica también quitarme la seguridad que he comentado anteriormente de "ni aunque me pillen".
Se ve que es el mal de toda empresa española, que en cuanto le van bien las cosas mas exprimen al currante de abajo.
La vulnerabilidad día cero suele ser la que permite escalar los permisos una vez dentro, por ejemplo un driver de impresión con una vulnerabilidad que te permita escalar permisos de administrador y eso se puede parchear en cualquier momento o que se actualice el antivirus y proteger contra esa amenaza porque ahora es capaz de detectar donde se esconde.
El atacante una vez obtenidos los permisos de administrador puede usarlos para esconderse en cualquier servidor, no necesariamente el que tiene la puerta de entrada que en un futuro pueda cerrarse.
Ese malware puede ser el que posteriormente inicie la comunicación con el atacante de forma recurrente sin necesitar para nada la puerta de entada de día cero.
De hecho es perfectamente factible parchear una vulnerabilidad de día cero y no tener ni idea de si ha sido aprovechada ni de si hay malware en la red debido a ello.
Además una gran organización cuando decida que va a implantar linux en su administración lo imlantará sus equipos una misma distribución y una versión concreta, y sus planes de actualización serán semejantes a los de la actualidad con Windows. Es decir desastrosos. O los propios usuarios deshabilitarán en sus máquinas las actualizaciones porque son molestas. Como ahora con Windows.
Por cierto, Gates ya se ha retirado. Y Microsoft (quien lo hubiera dicho hace quince años) es una de las mayores contribuidoras a Linux. Posiblemente lo hagan porque también se benefician y porque ya no generan apenas dinero en licenciar un sistema operativo en compración con vender servicios.
Linux puede ser tu puerta de cámara acorazada, pero si un ciberdelincuente consigue una llave maestra para esa marca de cajas fuertes, o un lote sale defectuoso igual no te protege más que una puerta ordinaria.
De todos modos lo que comentas me suena más a ataque de botnets en IoT donde entras en por ejemplo un router lo parcheas y te quedas esperando al momento indicado.
En una red securizada como debió de ser la de mediamark yo creo que vas a saco, no te esperas a quedarte latente y poder abrir una comunicación contra tu malware que permita... Nah ahí saltan todos los perímetros, es más difícil que consigas comunicarte con el bicho que infectar el sistema. No sé que igual tienes razón pero pensando en la navaja de ockam creo que es difícil.
Lo que ha dicho otro usuario sí que es más viable, que sea autónomo e intente ir a por los backups primero, pero nuevamente lo dicho, a saco y cuanto antes esté listo mayor probabilidad de éxito.
Te sorprenderías de la de negocio "no extrictamente ilegal" que se hace en bitcoins y familia a dia de hoy. No solo sirve para especular, pagar anónimamente por dios sabe que o amontonar dinero B. Algunos fondos de inversión lo usan como reserva monetaria (la propia Tesla usó Bitcoin como reserva para compensar la inflacción, y la jugada les salió bastante bien).
Mira la relación de transacciones comerciales que se realizan con moneda en curso y las que se hacen en bitcoin. El bitcoin tiene un uso residual como moneda de pago. Y evidentemente dada su privacidad su uso en bastante extendido entre transacciones ilegales.
No hace falta ser muy listo para saber cual es el único punto fuerte del bitcoin como moneda de pago.
Pero eso no impide reconocer que la posibilidad de que se hayan esperado sí existe y que en estos ataques aún teniendo automatizaciones hay personas detrás que toman decisiones, la posibilidad que esa o esas personas hayan tenido en cuenta el Black Friday y hayan asumido riesgos por ello existe, dudo que haya ocurrido así pero la posibilidad existe.
Y Gates pretende distanciarse de Microsoft porque siempre ha sido una persona asquerosa. Pero los lameculos de Gates siguen existiendo.
Los lameculos de Gates odian que haya tantas distros diferentes de Linux, porque eso evita que se pueda sabotear tan fácilmente.
Si miras los reportes de cualquier sistema de defensa se ve esa pauta claramente. Ellos no son tontos.
También he de decir que parece que juegan la baza del full-remote bajando salarios y casi mucha gente del equipo son gente de provincias donde no hay tanto trabajo de IT como en ciudades grandes y al final aunque cobren menos que en grandes ciudades les compensa porque la vida en ciudades de provincia suele ser más barata.
A mi me ofrecieron para salario de Senior I 32k. Le dije que en las ciudades grandes pagaban mucho más y me dijo que ya lo sabían, pero que por "equidad interna" no podían ofrecerme más por respeto a mis compañeros (toma ya). Y estamos hablando de una empresa que factura unos 500M€ al año y compite con Amazon y Mediamarkt.
Luego me dijeron que las revisiones salariales eran cada 2 años (mucho me parece para la rotación del sector).
Y me dio la sensación de que luego el ritmo de trabajo es bastante estresante, porque un compañero que iba a estar en mi equipo estaba trabajando a la vez que participaba en la entrevista ...
No se, en general no me dio buena sensación la empresa actualmente.
Con piso en Murcia, ya pagado, y estando viviendo alli y cobrando 32k. con trabajo 80% en remoto, pues te caen 2000e netos que no esta nada mal para ser Murcia donde las oportunidades no son muchas y menos con ese sueldo.
Porque el fabricante de las máquinas registradoras solo hace un producto para Windows. Porque quizás necesitasen ejecutar SQLServer para algún producto...
En fin, que uno no se lo piensa. Todos los aplicativos nuevos que administro van sobre Linux, pero muchos légacy van sobre lo que determinaron en su día los suministradores. Así aún tenemos en producción Windows 2000, Solaris 8, HP-UX 11.11... Y no tenemos alguna versión de VMS de puro milagro.
Y por otra parte, realmente no hay tantas distribuciones Linux. Si empeizas a excluir distribuciones que están basadas tal cual en otra y solo cambia el aspecto gráfico o el como se llaman las cosas verás que no hay tantas y que la mitad o más beben directaamente de Ubuntú, Arch y Slacware y unas cuantas más. Y no añaden nngún proceso de seguridad extra ni revisión de paquetes.
Ubuntu corrije bugs de debian y no comunican a Debian los bugs, por lo menos antiguamente.
Y hay suficientes distribuciones de Linux como para que los lameculos de Gates se dediquen a criticar a Linux por ello, porque eso le impide a MS sabotear el sistema operativo.
La cuestión es que, lo que se puede instalar en una distro a veces no se puede instalar en otra diferente, y eso hace que el malware no se extienda con la misma facilidad que lo hace en Windows, además de que Windows es mucho más inseguro.
Al menos tu cliente tiene que saber que le pueden entrar con soplar un poco...
Windows no es más inseguro que Linux. Desde que Microsoft se puso las pilas con la seguridad se encuentran cada año más vulerabilidades cr´ticias en el kernel de Linux que en Windows, aunque el que se lleva la palma en inseguridad entre los sistemas de escritorio no es MacOS.
De todas maneras el problema ni siquiera es cuantas vulnerabilidades graves se descubren cada año en un sistema. A un atacante le basta solo con una que no esté parcheada para hacer picadillo a la víctima. El asunto es desde que está disponible el parche ¿Cúanto tiempo tardan las organizaciones en instalarlo?
¿Eso lo harían mejor con Linux? La respuesta es que no. Cambiar a Linux no es la solución mágica. Hive tiene decodificadores para Windows, Linux y ESXI, por lo que es de suponer que existen versiones de Hive para esos sistemas. Y en el fondo da igual que tengas en tu desktop o en tus servidores si son capaces de llegar al ESXI y joderte una granja VmWare.
Hemos visto ataques muy sofisticados contra organizaciones en los que llevaban dos meses dentro de la red y se molestaron en desactivar los snapshot de las cabinas de almacenamiento. Obviamente eso no se hace simplemente con un Ramsomware as a Service que requiere que un empleado pinche un enlace en un correo malicioso y se ejecute código en local que comeinza la infección.
Con la eclosión masica del teletrabajo hay muchos puertos RDP abiertos que se utilizan, pero nadie te dice que mañana no haya una vulnerabilidad en SSH, que nos deje en bragas.
Windows no es más inseguro que Linux per se. Simplemente hay más ahínco en atacarlo porque su superficie de exposición es mayor. Si Linux fuese el escritorio dominante pasaría lo mismo. Si fuese Solaris pasaría tres cuartos de lo mismo. Lo realmente seguro es que son sistemas con desarrollo y los responsables e administrarlo tienen que instalar lo antes posible las actualiziaciones de seguridad. Y aún así de vez en cuando nos comeremos un ataque hecho aprovchando un 0-Day.
Ante este escenario quizás invertir en mejores planes de recuperación de desastres sea la mejor solución. Las agencias de inteligencia no van a dejar de invertir en cyberarmas para vulnerar todos y cada uno de los sistemas. Da igual que compres o que instales. Ya hay alguna organización viendo como romperlo. Diversificar tu electrónica de red entre más fabricantes jode más a tus administradores de red que a los atacantes. Diversificar tus sistemas operativos y las distribuciones Linux jode más a los administradores. Al final lo que se hace es que se paquetizan las cosas en un contenedor o se distribuye un paquete binario instalable tal cual con todas las dependencias y todo más sencillo. Y también para el atacante.
La seguridad no deja de ser un proceso contínuo y solo estar al día nos mantiene un poco a salvo. Después de haber aprendido a abrir cerraduras con ganzúa solo puedo decir que la seguridad física depende de que haya muchas más cerraduras que personas con ganzúas y no haya tiempo físico. La seguridad digital se basa en tener ventanas de oportunidad más estrechas desde que se inventa una "ciberganzúa" hasta que actualiza la cerradura vulnerable por otra para la que aún no hay ciberganzua. Y pr supuesto reducir lo más posible e número de cerraduras alcanzables.
El tema es que Mediamarkt tampoco ha elegido su software y versiones de sistema operativo de manera muy consciente. Escogiendo a un proveedor para datáfonos, cajas registradoras, etc... está escogiendo indirectamente proveedores para el software de sus servidores en los que se apoya eso.
Quizás la base de datos de precios pueda estar montada en cualquier base de datos normal SQL y esta funcionar con cualuqier sistema operativo ompatible con ese motor. Pero cuando te lo instalaron te pusieron un SQL Server en un Windows 2003 y el fabricante decía que no soportaba otra cosa (aunque pudiera funcionar).
Probablemente la primera versión del software de logísitica para los almacenes no se desarrollo en la propia empresa, ni para las nóminas, ni para las campañas de marketing. Hay decisiones que son heredadas. Quizás hubise planes para cambiarlas pr otras cosas, o para modernizarlas.
Como se suele decir, si no viene con el Sr. Beneficio entonces es amigo del Sr. Coste. Y todo ese software y sistemas están amortizados y probablemente tengan un coste de operación cercado a cero. Para muchas cosas ya no se pagará soporte a suministradores y las personas que lo soportan serán como yo. Un equipo de cuatro o cinco personas a los que llaman en broma los GSR porque cuando hay problemas "Generalmente Suelen Reiniciar". También maldecimos y hacemos scripts rápidos y chungos para arreglar los problemas históricos que tienen las aplicaciones legacy que quizás estén solucionados en las versiones actuales, pero no en las que están instaladas en hardware de hace 20 años.
¿Y en que consiste el plan de modernización normalmente? En coger todo eso y meterlo en máquinas virtuales que son un clon de la máquina física. Una vez probado que funciona apagar la máquina física y venderla al peso como chatarra. Ahorran espacio y energía y siguen con la misma infrastrcutura software obsoleta y además con los sistemas aún más acoplados entre si.
Linux será "razonablemente" seguro mientras haya un equipo de seguridad parcheando fallos. Y ahora mismo a esta gente la paga IBM. Posiblemente porque IBM se beneficia mucho de la existencia de Linux, al igual que se beneficia Microsoft.
Y si alguno de estos deja de poner pasata alguien y alguien no les toma el relevo (por lo menos en cuando a corregir bugs en Linux y otros componentes y aplicaciones de software libre) linux será un coladero.
No puedo antocipar el futuro, pero sé lo suficiente como profesional IT para no decir "siempre" y "nunca". Y sé que no conozco lo suficiente de seguridad para decir que una cosa es con toda seguridad más segura que otra.
Ya me gustaría ver en tu organización como de rápido certificais los parches de seguridad cuando salen y los desplegais. ¿Instalarías a ciegas sin probar un parche en una computadora que controla un autómata industrial crítico para un proceso industrial? ¿Cuanto tiempo lo tendrías en maqueta antes de aseverar que "el parche no rompe nada"?
¿Tienes protocolos de pruebas? Yo si.
Pero Linux es más seguro que Windows.
Y no sé como está el tema actualmente pero, cuando salió el sistema operativo Android, creo que Google también se preocupó de dar un poco de soporte y apoyo a Linux.
Ambos sistemas son razonablemente seguros pero la seguridad del conjunto depende de las prácticas de las organizaciones. Y lo que es seguro hoy mañana no tiene por qué serlo. Es más, seguro que no lo es habida cuenta de la cantidad e grupos que viven de vulnerarlos.
Wanacry fue posible por la publicación de exploits de la NSA. En dichas publicación había también exploits para Solaris, para bases de datos Oracle y para equipos de red Microtik y Juniper.
No pondría la mano en el fuego porque Microtik sea más seguro que Cisco, o que Juniper. Solo pondría la mano en el fuego en que el día que le toque a mi organización estaremos menos descoordinados que cuando nos sacudió el Wanacry.
Antes de w10 no es discutible que por diseño Linux era más seguro.