#91 Nosotros desde primera hora estábamos y nos han avisado hace nada.

Puente largo en Madrid.

#36 Si quieres te envío una foto de una sede de Telefónica con todos los PCs apagados y la gente haciendo corrillos.

#90 Tío que es en clave de humor, tengo claras las funciones de chema, pero cuando se habla de seguridad y de telefónica o de hacking tiene que salir chema hombre, no te ofusques

#1 en gas natural fenosa estan apando todos los ordenadores.

Prohibición de sacar cualquier equipo informático de las sedes de Telefónica... Aviso remitido por megafonía en alguna de sus sedes de la capital.

relacionada y con pantallazo del mensaje de telefonica : www.redeszone.net/2017/05/12/ataque-masivo-telefonica-vodafone-bbva/

#98 He trabajado en BBVA y trabajar alli no es trabajar con normalidad

#103 Pues te confirman mal, BBVA no está afectado, aunque le han atacado

#59 Y está afectando también a las subcontratas de telefónica. A esta hora todos con el ordenador apagado.

#9 Yo trabajo dentro de Telefónica y se han infectado dos equipos de compañeros.

Están todos los equipos apagados. Ahora mismo la compañía, al menos las tareas que hacemos desde esta central, esta en modo "piloto automático".

#104 Si quiero. Y digo yo, porque no se van a su casa? es viernes!!!

#78 Nada de eso, alguien se ha descargado un ejecutable(y lo ha ejecutado) de cierto correo que simulaba ser una entidad bancaria...

#18 Y no va a llegar ninguna notificación oficial. Cuando sepan el alcance real y puedan limpiar esto ya emitirán un comunicado. Pero seguramente minimicen la afectación.

Un abrazo muy grande al equipo de Sistemas de dichas empresas. Váis a pasar un finde muy malo (mientras, seguramente vuestros superiores disfruten de un día de playa). Ánimos chicos!

#1 NSA pinchando los cables, circulen circulen.

#14 Confirmado también en Ästurias y en Vizcaya

#93 Como si a todas las estaciones se les pudiese hacer eso.
Además, aún no se sabes desde cuando están infectadas...

#114 Te aseguro que no es tan sencillo como eso. De hecho la gente de sistemas no sabe todavía cómo ha ocurrido. Ha pasado en ordenadores de gente experta y de gente no experta por eso trabajan con la hipótesis de una vulnerabilidad de Windows con o sin el RDP.

#117 No ha sido un problema de servidores sino de ordenadores de sobremesa. Dudo mucho que sea obligatorio tener backup de todos y cada uno de los ordenadores de sobremesa.

#75 este virus no les debe afectar porque creo que muchos de sus ordenadores todavía van con IBM OS/2 - Warp

#80 Tengo colegas en BBVA y me dicen que están en normalidad. No toques los huevos.

CC/ #75 #98

#121 yo digo como ha entrado, otra cosa es como se haya esparcido por la red.

#50 #39 Netflix no utiliza Flash. Utiliza HTML5 o Silverlight.

#37 Eso que dicen no tiene ningún sentido. Precisamente este tipo de ataques garantizará que la compañía no recorte en seguridad.

Cuando esté el informe postmortem se sabrá que es lo que ha sucedido, y se establecerá un plan de acción para que esto no se repita en el futuro.

#76 Sí es la Sala de Controladores del CNSO de Telefonica, pero está tan photoshopeada que salta a la legua

#113 Porque trabajan a turnos y están esperando al relevo.

#33 Pues en este caso es una portada mas que justificada.

#128 Silverlight, el flash de Microsoft.

#78 Hace dos días me entró un cliente infectado. El vector fue RDP por fuerza bruta o vulnerabilidad. No está claro.
Pero fue A través de RDP seguro.
#114

#130 Vale, pero no esta en Distrito.

#24 Aquí la captura del ransom  

#24 y aquí la notificación interna:  

#99 Claro pero es que otra historia ya es que estés con un NAS pinchado, o lo que sea.

Yo si estoy tranquilo es porque mis servidores son servidores, y no tienen nada para fuera que los ponga en peligro. Al igual que la máquina en la que trabajo. Para cifrarlos o hacer el bandarra primero tienes que entrar, y no creo que lo deje tan fácil.

Parece ser que Iberdrola se une a la fiesta

#133 Bueno, pero no es Flash

#127 Por eso mismo te lo digo ... ha entrado en ordenadores de gente experta que ni de coña ejecuta una cosa así. Y no se ha esparcido por la red sino que se ha activado TODO a la vez. No se ha ido extendiendo poco a poco sino que estaba latente en la mitad más o menos de ordenadores. Tanto de administrativos como comerciales como gente de TI sin que de momento encuentren un patrón claro.

#78 Los paquetes de command and control, sus direcciones, suelen ser filtradas en los DNS. A lo mejor la dirección no estaba en la lista del vendor de los DNS de corporativa pero creo que es poco probable.

#140 Pero es igual de malo e inseguro, simplemente que no es de Adobe.

#95 no creo

Comentan desde telefonica que la siguiente factura habra que pagarla en Bitcoins por no se que de unos Chinos...

#138 Por lo que comentan esto ha sido un agujero de seguridad en el antivirus de Microsoft. No hay sistema libre de estos agujeros de seguridad, tener la certeza de estar seguro hoy en día es un error. Has de minimizar riesgos, pero no puedes estar tranquilo...por desgracia.

Todos los telediarios del mediodía:
"Un ataque informático POPULISTA está secuestrando en estos momentos...."

#120 Sí, a todas las estaciones que han sido infectadas se les puede hacer eso. Y desde esta mañana, y no a primera hora precisamente.

#61 Eso es cierto pero en términos de un ataque masivo se va a por el sistema que más usuarios usan. Si vas a crear un ransomware vas a intentar afectar al mayor numero de equipos posibles, por eso se va a por Windows. Cuando se habla de linux es algo más fragmentado ya que hay mucha variedad.
Espero que esto sirva de ejemplo de lo vulnerable que es usar un sistema operativo mainstream como windows.

#143 Correcto. Aunque yo no recuerdo haber instalado el Silverlight para Netflix, ¿supongo que cogerá el HTML5 por defecto?

Ha sido Mr Robot.

#124 Pues por ahí están diciendo que han parado los CPDs.

Es trivial tener una copia de los datos de los equipos de sobremesa: Roaming Profiles.

#134 Sí, a la gente le está pasando por RDP. Yo me estoy haciendo un backup en la nube de información importante. Por cierto .. hay que hacerlo sin tener "montado" el disco. Si tienes dropbox como un directorio de tu pc, estás jodido igual ... lo cifrará si te entra. Hay que pasar los datos directamente por web a tu disco en la nube.

#1 edit. ha sido más rápido #151

#145 y que suben 5€, pero te dan el canal de toros de regalo

#122 ¿Nos conocemos de algo? Me parece de muy mala educación y muy triste que lo único que puedas aportar sea eso.

#3 Gente externa que trabajan con VPN de telefónica ha recibido ordenes de que no se conecten.

Y encima en viernes!

No me gustaría estar en los zapatos de los informáticos de estas empresas.

#96 Vamos a ver.

Han cifrado los datos de los backups

Si los backups los hacen de una manera medianamente decente, esto es literalmente imposible.

y de todos los discos que estaban montado en los escritorios.

Los cuales deberían estar bajo política de backup también, si son considerados importantes.

Pero aún más ... no saben desde cuándo están infectados. Han dejado el virus durmiente y no saben si durante días , semanas o meses

Eso es irrelevante. Se restaura el último backup válido, que con suerte es de esta mañana, a eso de las 6 ó 7, justo antes de que entre la gente a currar.

Cuando han mandado a toda la gente a casa, por algo será.

¡Porque con todos los datos cifrados no pueden trabajar! Hasta que no se restauren backups no pueden hacer nada.

Así que me temo que, en contra de tu opinión, es grave de narices.

No. Sería grave si no tuviesen backup. Teniendo un backup actualizado es caro (en términos de horas-hombre gastadas), pero no grave.

En Iberdrola también estamos parados

Y esto es lo que pasa cuando no se firma el convenio colectivo de los informáticos.

#136 Parece el rasonware WannaCryptor o WannaCry, se comenzó a detectar el febrero

#82 Peor. Es chino.

#125 Todos los terminales de las oficinas funcionaban con XP y hace poco se hizo una migración a Windows 7, de OS/2 si queda algo, debe quedar muy poca cosa.

#157 Pues creo que se han dejado a unos cuantos y, a priori, es fácil cogiendo toda la lista de usuarios de ARU y haciendo un broadcast, aunque los servidores de correo lo han podido considerar spam... no sé.

Efectivamente hay un ransomware que afecta a linux, el denominado linux.encoder del 2015, imagino que ya habrá cientos de mutaciones distintas, por suerte no ha caído por mi curro.
El pan nuestro de cada día, este virus pasará a la historia, igual que I love you, barrotes...

Confirmado por gente de contratistas de TI que están en sede de BBVA Las Tablas, están afectados. Les han avisado que apaguen todos los equipos.

#149 Pero he leído muchos casos de servers linux de web con el mismo problema. Windows es en clientes, pero en servidores, Linux ha sido atacado unas cuantas veces ya, en google tienes el historial si buscas.

Los particulares que tenemos fibra con esta gente, también tenemos posibilidades de infectarnos o es solo cosa interna?

Ya me respondo:
"...El ataque afecta a la red corporativa de toda España, y cabe matizar que en principio afecta tan sólo a la intranet y no a los clientes."

#93 Vaya utopía. No funciona así, ni en empresas más pequeñas. Sólo las restauraciones de unos cuantos teras en un servidor de ficheros tardan bastante más.

#159 tienes razón en todo, esto de virus "durmientes" en fin ...

El problema básico es que la gente suele dejar sus cosas fuera de las unidades de red ( escritorio etc...) , y no te digo nada si tienen outlook con los pst fuera...

#1 En realidad... depende de qué consideres grave. Ojalá todos los problemas informáticos se solucionaran sólo pagando $300.  

#159 Yo no sé tú pero yo no me arriesgaría ni de coña a restaurar una copia de seguridad que no estuviera limpia del todo. Aunque sean datos sabes perfectamente que el virus se puede quedar ahí y reactivarse desde ficheros que son datos. Porque los "datos" contienen o pueden contener información susceptible de ser ejecutada y atacar otra vez el sistema. Vamos ... lo que te digo creo que es básico.

En segundo lugar ... si han cifrado (como parece que han hecho) discos montados en los pc's, estamos en la misma. Hay que buscar una copia que sea segura de verdad.

Y otra cosa ... digo que es MUY GRAVE ... no catastrófico. Desde luego que supongo que se podrá recuperar pero vamos, no va a ser sencillo ni rápido. De hecho mi información es que la gente de IT está todavía evaluando qué narices van a hacer y tontitos del todo creo que no son.

#4 Chema ya ha mencionado el tema: "Como muchos sabéis, la seguridad interna de Telefónica no es una de mis responsabilidades directas. Pero todos somos parte de la seguridad" twitter.com/chemaalonso/status/862996031906205696

Espero que en unos días use su sinceridad habitual y cuente cual fue el problema (bueno, si le dejan...)

#39 cuéntanos cómo lo borraste, por si.... gracias!

#93 vaya, esperamos que tú lo soluciones rápido

#167 Pues que no te cuenten milongas (o no las cuentes tú), en BBVA están trabajando normalmente

#157 Parece que no ha llegado a todos los externos.

#149 Variedad y "algo más" de seguridad en el uso del día a día.

#152 que yo sepa los CPDs están funcinando sin problemas. Otra cosa es que a empresas que tienen contratas les hayan hecho parar debido a que hay discos montados y compartidos. Es la impresión que tengo por los comentarios que he visto por aquí.

Algo pasa, precisamente han venido hoy a cambiarme el router por averá, (nada que ver con esto), y no pudo hacer pruebas porque tenían fallo generalizado a nivel nacional.

Alguien ha encontrado una utilidad práctica y lucrativa al leak de Shadow Brokers

Ahora es tarde para acordarse del MS17-010 que tenía que estar puesto desde hace semanas ...

#174 lo más probable es que les ha entrado un correo con un ejecutable o un link a uno de estos, este a parte de encriptar todo lo del usuario "origen" ( y sus unidades de red) , ha enviado el correo a través de su agenda de correo a todo kiski, que a su vez han ido abriendo y confiando en el correo ya que venia de alguien de "confianza".

Vaya finde para los de sistemas...

1- Restaurar todos los ordenadores infectados, imágenes base tipo ghost etc..
2- Borrar correos "sospechosos"
3- Restaurar copias de los datos de los servidores de archivos

#170 Van a tardar días en restaurar, eso seguro.

#117 Las copias pueden estar infectadas desde no se sabe cuando. Por cierto, hay que ver lo bien que trabajan los juanckers que roban los portátiles y los discos duros de los juzgados de Ejpaña!!!

#112 Para evitar conspiranoias, ya lo añado yo: "enviado desde mi iphone".

#61 En este caso no afecta para nada a Linux.
Estoy por ponerte un negativo.

#94 Cuidado! Un ratón suelto peligroso!

#157 Confirmo, acabo de preguntar a un amigo y así es.

#93 Dijo Chiniwini mirando al vacío dijo mientras jugueteaba con el palillo entre sus dientes y posaba su cerveza sobre la barra.

#17 Tampoco se va a notar mucho.

#78 ¿Obtener las claves de acceso por fuerza bruta?

A ver si Chema Alonso con lo de que da igual que te pongas una contraseña corta que te la van a robar por ingeniería social va a tener algo que ver...

#99 No, insisto: El que tengas una carpeta compartida con Samba no significa que el virus afecte a Linux.
Significa que tus clientes Windows están infectados y están guardando sus "FICHEROS INFECTADOS" en tu carpeta compartida Linux.
Si se usase Linux en las Workstations no habría pasado nada de esto.

#189 Iba en respuesta a uno que decía que estaba tranquilo porque tenía linux.

#138 Más tranquilo estoy yo:

En mi empresa todos los equipos (servidores y workstations) son Linux.

#194 Están utilizando ese sistema para meter ramsonware en pc's. No digo (o no quería decir) que haya sido así de "fácil" en este caso. Pero sí que conozco casos de gente a la que se lo han hecho así.

#161 ojala amen... por un momento pense en un boikot de alguna de las carnicas y resulta que son unos simples delincuentes en busca de billetes...... para que una huelga indefinida cuando puedes encriptar los discos de la empresa indefinidamente?

#195 Google, primer resultado, 2015: www.genbeta.com/linux/aparece-un-ransomware-que-afecta-a-linux-esto-es