Pero han pagao o no?

#2 Parece que si. En la cuenta de cobro de Ryuk hay transacciones "gordas". Y parece que Everis tambien (dicho por una amiga de Everis).

#7 El golpe ha sido muy dirigido a Everis (y muy medido y meditado de como hacerlo).

#5 porque hablais sin saber? Prisa Radio no tiene ningún contrato con Everis.

#4 El único antídoto que existe para una encriptación, que yo sepa, es la clave.

#4 el secuestro en si me da a mi que no va a desaparecer. Otro cantar es que se pueda eliminar todo lo asociado al gusano salvo los ficheros cifrados

Formatear ordenadores y volver a nacer con los backups que tengan sanos

#9 Ok. Lo que tu digas.

#12 Yo creo que el problema es saber cual de las copias de seguridad esta limpias (eso contando que tenga esas copias y hasta cuando tienes que funcionen...9

#12 ¿De verdad crees que estos inútiles hacían copias de seguridad?

SER o NO SER....esta es la cuestion....

si es que Shakespeare fue un visionario

¿Este tema es dependiente del sistema operativo? Lo digo por si pudiera haber sido evitado usando GNU/Linux (y en eso e informáticos tendrían que invertir) o no.

#10: Y una copia de seguridad bien realizada.

#8 tiene sentido... everis da servicio a un montón de clientes y es un punto de infección bastante bueno

Me pregunto (porque es lo que usan en una gran empresa pública del sector sanitario, dónde trabajo) si programas Endpoint como el de Symantec pueden parar este tipo de ataques.

#10 Pueden haber encontrado un patrón de generación, como ya ha pasado con otros ransom.

#18 Eso pienso yo, hace tres años infectaron los servidores de producción de IB3tv y en una mañana ya tenía restaurada la copia de seguridad del día anterior, vale que solo eran unos 70GB, pero entiendo que las empresas deberian tener un sistema de respaldo adecuado a sus necesidades y tamaño.

#17 tanto el troyano usado en la infección inicial como el ransomware son para Windows. Imagino que los servidores Linux se habrán salvado. La cuestión es que todas las empresas se basan en directorio activo de Microsoft, y el principal problema es cuando precisamente eso es lo que hay que restaurar.

¡¡¡¡Jakea esto!!!!! Nos estamos divirtiendo más, desde que empesastes a jakear!!

La Vida Moderna no ha notado nada.

#24 por la gran calidad y preparación de sus programas .
PD La fiesta del amoche

#2 Todas pagan. Igual solo por un par de servidores sueltos que nadie se acordó de configurar el backup, pero todas las empresas afectadas por estos ataques acaban pagando algo.

#6 Por eso cuando pasan estas cosas yo me alegro. Que vayan aprendiendo a tener buenos informáticos en nómina con buenos sueldos!

¿Qué es Everis?

¿Radio muy ochentera? ¡Como Kiss FM!

¿Radio muy ochentera? ¡Como Kiss FM!

¿Radio muy ochentera? ¡Como Kiss FM!

Yo suelo ver la vida moderna y los tios están encantados. Han vuelto a hacer programas en la azotea del edificio o en la habitación de las fregonas. Sin luz y trabajándo lo mínimo posible.

#10 format c:

#24 Parece que hoy también ha habido samante.

#23 #17 Conozco varios desarrolladores de Everis con Mac que se han librado. Así que imagino que solo afecta a Windows

#13 trabajas en PRISA? Porque yo si

#15 ¿lo sabes tú realmente?

#37 Vale. Pues entonces mis amigos de Everis mienten.

#23 Aunque tengas un servidor GNU/Linux con Samba, si un cliente Windows se ve afectado por el ransomware, imagino que se cifran las carpetas compartidas igualmente.

#28 no quiero haceros volver a la realidad de una manera muy brusca. Pero pensáis que después de esto van a espabilar?

#35 está grabado y en Barcelona, así cualquiera.

#36 En cualquier empresa deberían promover entornos heterogéneos con terminales de respando con Mac o Linux con un soporte decente, como Solus.

Si como principal no pueden por razón X e Y, el tener un entorno de trabajo secundario nunca está de más.

De hecho existe hasta un PC dedicado con HaikuOS y TuneTracker donde está especializado en emisiones de radio. HaikuOS suele estar en fase alpha/beta pero tienen una edición pulida para ese hardware en especial.
www.haiku-os.org/
www.tunetrackersystems.com/

#40 depende de si las unidades remotas están montadas en los clientes y de los permisos de escritura. También del propio ransomware, de que rutas esté configurado para cifrar.

#43 lo que dices no va a pasar nunca. Lo que deberían tener es detecciones de dumpeo de credenciales, cuentas de servicio con contraseñas fuertes y sin privilegios de admin de dominio. En general, gestionar decentemente las cuentas privilegiadas y los logins a equipos remotos. Es probable que los atacantes llevarán un mes como mínimo en la red antes de desplegar el ransomware. No ha pasado nada que no haya ocurrido doscientas veces a otras empresas, por lo que si no se han preparado para ello es negligencia por su parte.

#45 Por lo general se pasan las políticas de grupo por el forro y las directivas son accesibilidad de datos > seguridad. Pero desde siempre. Y luego pasa esto, claro.
Que no hablamos de un banco, es una emisora, cojona.

#33 No trabajaban así de serie los locos estos ?

#15 Se lo hacen remotamente via NAS en modo r/o. Aunque vamos a ver, todo lo audiovisual tiene gigas diarios al grabar muchas veces en RAW. En radio hablamos de gigas diarios, en TV ya es inmanejable. Ya lo era antes cuando emitian en PAL pero sin comprimir (~1 GB por 7-8 minutos de mision, haced cuentas, 1h capturando TV en el PC me ocupaba trece gigas en YUV), imaginad ahora.

Suerte que es una emisora de radio y no estudios de TV, aunque sea una TV local.

#22 Una radio puede mover mucho más que eso al día.

#40 Depende de los permisos.

#45 bla bla bla y usando windows es como dejar abierta la puerta de tu casa. Lo que dice el chaval de arriba es lo más sensato en entornos serios y profesionales: plataformas híbridas. Pensar que usando el windows que regalan en la cajita de cereales, es pensar como usuario nivel office

Supongo que Vodafone tiene algo que ver con lo ocurrido en la SER...  

Que paguen a alguien que tire de radare2 y extraiga la key de una muestra

#23 #43 En todo caso, suponiendo que "algo" tendrían con Linux, y se habrán dado cuenta que por ese lado no les ha afectado, podría ser una buena oportunidad para que probaran a intentar migrar todo lo posible desde Windows a GNU/Linux. Entendiendo por esto, la compatibilidad de programas, etc. Pero bueno, siempre es mejor habituarse a un programa alternativo o con menos funciones que no tener nada como ahora.

Que vamos, no tengo ni idea de qué tipo de software se usa en la radio, pero si hay opciones decentes multiplataforma... Supongo que un buen soporte de red hat o suse, por poner ejemplos, no les debería dar muchos quebraderos de cabeza (bueno, e informáticos, claro).

PD: ¿Entonces tunetracker funciona bajo haiku-OS? ¿Es como la distro de Steam funcionando bajo Debian? #36

#9 Pero si lo de Everis y la SER lo ha dicho hasta Francino en antena, no insultes a la inteligencia con gilipolleces.
Eso sí, se lo han tomado a risas, como si no tuviera mayor importancia y fuera guay ser hackeado, estarán orgullosos de tener sus sistemas subcontratados con cárnicas de mierda como Everis.

#28 Informáticos en nómina con buenos sueldos, en vez de directivos inútiles por un pastón?
Si, y también unicornios alados paseando por el país de nunca jamás...

#41 No.

#22 70GB al día es una mierda pinchada en un palo, en mi empresa tenemos más de 2TB diarias sólo de incrementales, y no somos nada del otro mundo, del montón.

#34 Eso en tu mundo, en el mío rm -rf /

#45 No jodas, todo eso cuesta pasta, mejor lo subcontratados con una mierda de cárnica del político de turno que nos da contratos, y con lo que ahorramos contratamos a 10 directivos inútiles más.

#51 Estos aún estaban en usuario nivel "mi abuela la del pueblo".

#39 estoy pensabdo que a lo mejor si hay gente de Everis, pero si son los que yo creo, no tienen red de radio

#62 Te garantizo que los amigos de Everis que tengo (un excompañero de empresa de mas de 10 años esta alli ahora por ejemplo) están convencidos de que ellos son los que contagiaron a la Ser. A lo mejor están equivocados, pero esto mismo lo he hablado con un amigo experto en seguridad hace dos días, ha salido en un hilo de seguridad de Telegram, etc...

#41 #56 Ya se que no va a pasar, pero al menos que se jodan alguna vez cuando pase algo así

#63 puedes pasarme el canal de telegram. Ya te digo que los ficheros cifrados son .RYK y no .3v3r1s. Tiene mas pinta de que haya venido de otra empresa de Buenos Trabajadores. En cualquier caso me da a mi que la reclamación va a ser millonaria

#66 Lo lei en uno de estos dos : t.me/joinchat/D4OOw05wA6Isfql1AIlPFg t.me/SeguridadInformatica .

Desde luego la broma es una millonada (parar todo Everis es la leche y la Ser esta en jaque).

#54 Es un programa dedicado a emisiones de radio, debajo es un HaikuOS pulido y adaptado al hardware que te venden en conjunto, que es un PC dedicado.

#6 Hoy día las empresas solo se acuerdan de los informáticos cuando necesitan programadores. Parece que nadie se acuerda de la figura del Administrador de Sistemas para tener las redes/servidores/seguridad en orden hasta que pasan estas cosas.

Pues nada. A pasar buen día.

#69 Es mejor DevOps juntando lo peor de la programación y lo peor del administrador de sistemas. Alias docker y su falsa sensación de seguridad.

Y por cierto, he visto mejores scripts hechos por administradores de sistemas que por programadores. Mucho más cortos, reducidos a su mínima expresión y modulares, donde los hacían multipropósito con facilidad.

#58 En el mundo multimedia en RAW son bastante más de 2TB.

#58 Bua, yo genero mas o menos eso diariamente con los vídeos e imágenes de los grupos del whatsapp.

...nadie se ocurrio utilizar unos "linux live" con libreoffice y vlc??????
No se, es por se constructivo

#48 entre apretarlo a h.265 y mpeg2k la cosa ya se ha vuelto manejable. Sobre todo para contenido que no necesita mantenerse a full de calidad.

#51 con todo el respeto, lo que propones no es viable en el 99,99% de empresas grandes (sobretodo en este país). Si las conocieras por dentro lo sabrías. Yo llevo 15 años dedicándome a esto y sé lo que digo.

#20 lo que hacen estos grupos es desactivar el antivirus de turno antes de desplegar el ransomware.

#53 lo más probable es que la clave no esté en el binario

#77 cifra con una key simétrica o usando PKI? Si usa una key publica o una simétrica obtenidas desde el "exterior" => DNS sinkhole (o similar) y problema arreglado; supongo que generará una key internamente por host infectado (simétrica o no), así que lo que tendrían que hacer es soltar billete para que alguien les saque el algoritmo, aunque seguramente el "bicho" será una modificación de otro "bicho" aparecido anteriormente, por lo que los analistas de AV (o incluso los servicios web de análisis) serían capaces de identificarlo desempaquetando los layers del binario en runtime sin demasiados problemas.

#74 Ciertamente hoy con mpeg2ts para casi todos los estándares tienen de sobra, pero en audio (radio) tienen gaitas multipista y no en MP3 precisamente.

#70 si cobras por programar a lo mejor no te interesa que tu trabajo se pueda hacer mas rapido en el futuro

#80 De ahí esas 2000 capas de mierda con kubernetes y demás.

Un sysadmin con scripts simples y vms podría barrer a la mitad de devops en una mañana y con mucha más seguridad.

#78 si es lo que parece por los pantallazos que se han filtrado podría ser 4096-bit RSA + 256-bit AES. Buena suerte...

#75 ¿me dirás que en España se usan servidores Windows? ¿Are you from the past?

El confidencial no es el periodico cloaquero que decía que hoy tsunamidemocratic no dejaría a la gente ir a votar?

#83 En qué mundo vives? Claro que se usan servidores Windows, en España y en cualquier otro país... y Linux también, ojo, pero no vas a encontrar ninguna empresa sin servidores Windows. Te suena una cosa llamada Directorio Activo? Sharepoint? SQL Server? IIS? Exchange?

#82 Da igual si es RSA+AES, o si es un chorizaco sacado del /dev/urandom ya que de entrada está descargado el tirar de john o hashcat para la key. En cambio, si sacas (func. local) el algoritmo de generación de la key que es precisamente el eslabón mas débil, por muy mucho que haya que desempaquetar el binario y después "desenrollar" un par de layers de cifrado del .data hasta dar con los bytes que se ejecutan realmente jeje.

Supongo, porque asumo que el bicho no conecta con Inet para nada durante el proceso de generación de key + cifrado de archivos, ni envia las keys por Inet a un C&C ni ná parecido .. a todo esto, se sabe la variante de malware que ha sido?

No hay muestra subida a virustotal? Ni si quiera a mlw.re?

#85 Supongo que estás hablando de empresitas pequeñas, ok. Entiendo que o no hablas de entornos de más de 1000 clientes o no tienes ni puta idea.

#87 jajaja, no me hagas reir, por favor, he trabajado con empresas de todo el mundo, algunas con entornos de más de 150.000 clientes y miles de servidores. A ver si el que no va a tener ni idea eres tú e igual te va bien bajar un poco los humos.