No se sabe a ciencia cierta qué esta pasando pero Telefónica ha dado la voz de alarma a sus empleados y la noticia ya está corriendo por las redes sociales. Actualización: El ransomware WannaCry, que finalmente es lo que ha provocado este agujero de seguridad, se ha aprovechado de una vulnerabilidad en el protocolo SMB de Windows. Otras empresas también han tomado medidas de seguridad ante la gravedad del asunto pero no han confirmado que hayan sido afectadas.
|
etiquetas: telefonica , virus , ransomware wannacry , windows
Es obligatorio tener históricos anuales.
Espero que en unos días use su sinceridad habitual y cuente cual fue el problema (bueno, si le dejan...)
/cc #329 #60
Están todos los equipos apagados. Ahora mismo la compañía, al menos las tareas que hacemos desde esta central, esta en modo "piloto automático".
Han cifrado los datos de los backups
Si los backups los hacen de una manera medianamente decente, esto es literalmente imposible.
y de todos los discos que estaban montado en los escritorios.
Los cuales deberían estar bajo política de backup también, si son considerados importantes.
Pero aún más ... no saben desde cuándo están infectados. Han dejado el virus durmiente y no saben si durante días , semanas o meses
Eso es irrelevante. Se restaura el último backup válido, que con suerte es de esta mañana, a eso de las 6 ó 7, justo antes de que entre la gente a currar.
Cuando han mandado a toda la gente a casa, por algo será.
¡Porque con todos los datos cifrados no pueden trabajar! Hasta que no se restauren backups no pueden hacer nada.
Así que me temo que, en contra de tu opinión, es grave de narices.
No. Sería grave si no tuviesen backup. Teniendo un backup actualizado es caro (en términos de horas-hombre gastadas), pero no grave.
Significa que tus clientes Windows están infectados y están guardando sus "FICHEROS INFECTADOS" en tu carpeta compartida Linux.
Si se usase Linux en las Workstations no habría pasado nada de esto.
En cualquier caso la noticia en estos momentos si es dudosa, aunque hay varias confirmaciones no hay ninguna oficial o medianamente seria.
En segundo lugar ... si han cifrado (como parece que han hecho) discos montados en los pc's, estamos en la misma. Hay que buscar una copia que sea segura de verdad.
Y otra cosa ... digo que es MUY GRAVE ... no catastrófico. Desde luego que supongo que se podrá recuperar pero vamos, no va a ser sencillo ni rápido. De hecho mi información es que la gente de IT está todavía evaluando qué narices van a hacer y tontitos del todo creo que no son.
Meagdive sirve para expandir ransomware así que podríamos estar hablando de algún exploit flash o de reproductores (Ya que solo estaba viendo netflix).
Conseguí borrarlo.
Virus - i.imgur.com/SZF0nWi.png
Info Virus - i.imgur.com/uCtQJsC.png
ALERTA
Ataque masivo de ransomware que afecta a un elevado número de organizaciones españolas
Publicado el: 12/05/2017
Se ha alertado de un ataque masivo de ransomware a varias organizaciones que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red.
El ransomware, una versión de WannaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red....
Debe haber una liada enorme.
Las pantallas se han ido a azul y los PCs han comenzado a encriptar todos los discos duros. Automáticamente se ha pedido desde megafonía el apagado de equipos.
Trabajadores del operador aseguran que se trata de un ataque a la red corporativa de Telefónica, extremo que, de momento, no confirman fuentes oficiales.
Otras fuentes del sector aseguran que empresas como KPMG, Cap Gemini y BBVA también han sido atacadas, si bien desde el banco aseguran que todo funciona con normalidad en su sede central.
Pero el nivel de conocimientos que tenía el usuario medio de el funcionamiento del SO estaba a años luz de los usuarios de ahora.
Trabajo dando soporte a 15.000 usuarios (no yo solo por supuesto) y la mayoría para buscar algo ponen "google" en el cuadro de búsqueda de Google en Firefox. Luego lo buscan en Google.
Es decir, buscan "google" en Google para ir a Google y buscar algo en Google. Y son la mayoría, no un caso aislado.
He tenido llamadas de 45 minutos intentando que una persona que en teoría no accede a una web (intranet), vaya al equipo de otro compañero, deje que el compañero abra la web, apunte la URL, vaya a su PC y escriba la dirección.
45 minutos y no llegamos al paso de apuntar la dirección.
Estamos hablando de personas con estudios universitarios.
Por lo que se sabe por ahora de ese ransomware (wanadecryptor), afecta a sistemas windows.
www.hybrid-analysis.com/sample/b9c5d4339809e0ad9a00d4d3dd26fdf44a32819
Windows no se infecta más por ser "mainstream".
Todo internet funciona con sistemas *nix. Más mainstream que eso no hay nada.
Windows se infecta más por tremendos fallos de diseño que son parte fundamental del funcionamiento de Windows y que si Microsoft cambia harían incompatible las nuevas versiones de Windows con las aplicaciones ya existentes.
Que se coman la carnica al horno y con patatas.
Pero fue A través de RDP seguro.
#114
FUD. Prácticamente detrás de cada IP que existe mundialmente hay un *nix. Mientras que los PCs domésticos suelen estar detrás de routers con NAT, Firewalls, no tienen servicios corriendo en puertos abiertos a todo internet, etc...
Desde el punto de vista de la facilidad de acceso es mucho más accesible un servidor web, correo, etc... que un equipo Windows de un particular o empresa.
No se atacan los Windows por que sean más, ni por que el usuario sea el eslabón más débil (el mismo usuario en Linux ya no es eslabón débil), se atacan por que el SO es más débil (ejecución por extensión por ejemplo).
En cuanto a la ejecución de código por buffer overflow, no te sirve de un PC a otro si no tiene corriendo el mismo servicio/demonio y habitualmente la misma versión. Por lo tanto muy complicado y muy selectivo.
Mientras que el problema de las extensiones es transversal a todos los Windows tengan los servicios que tengan.
#291 Esa es otra.
Los de Microsoft piensan con el culo o la seguridad del equipo de los usuarios se las trae al fresco.
Tienes un problema monumental con los ejecutables y decides que vas a ocultar las extensiones para que los usuarios solo vean el icono de el tipo MIME de la aplicación.
Más facilidades para los creadores de virus y troyanos. Solo tienes que poner a tu ejecutable de icono el tipo MIME para los JPG y ponerle de nombre algo sugerente.
Felicidades, el usuario ya no puede distinguir un jpg de un exe.
Fantástica mejora de la usabilidad... para los creadores de malware.
Además, aún no se sabes desde cuando están infectadas...
www.elmundo.es/tecnologia/2017/05/12/59158a8ce5fdea194f8b4616.html
Es trivial tener una copia de los datos de los equipos de sobremesa: Roaming Profiles.
Estoy por ponerte un negativo.
Es más, parece que el tema se ha propagado a los sistemas de Vodafone, y en Italia no tienen servicio de Fibra en varias ciudades:
Chema Alonso Cuenta verificada @chemaalonso 15 minHace 15 minutos
Como muchos sabéis, la seguridad interna de Telefónica no es una de mis responsabilidades directas. Pero todos somos parte de la seguridad..
Rara es la empresa en la que esa frase sea cierta.
Todo este problema viene por una mala decisión de base que Microsoft jamás quiso corregir, para no estropear la "compatibilidad" con versiones anteriores de Windows:
Que lo que de termina que un archivo sea ejecutable es la extensión del fichero.
Nada de esto puede pasar en ningún Linux, tenga las políticas de seguridad que tenga el equipo, haya firewall o no, haya antivirus o no. Por que nada que se descargue un usuario en Linux es ejecutable, absolutamente nada.
El tema de usar las extensiones para determinar qué es ejecutable y qué no, probablemente sea la mayor cagada de la historia de la informática en cuanto a dinero que haya costado.
Prácticamente todos y cada uno de los virus, troyanos, malware, adware, gusanos, ramsomware, etc... que existen y han existido en la historia de Windows han sido posibles por esta decisión.
Pero claro, es una decisión que a Microsoft no le cuesta dinero, si acaso lo contrario.
Y como todos los usuarios de Windows ya sean particulares o empresas ya tienen interiorizado que virus y demás familia son parte inseparable de un ordenador cuando no es así para nada en otros sistemas operativos, en lugar de cargar contra quien tiene la culpa, creadores de virus y Microsoft, asumen con resignación bovina que es parte de el ciclo de la vida de los ordenadores.