La compañía de salud, una de las más grandes de España, lleva desde el 11 de septiembre sin poder operar con normalidad debido a un potente ataque 'ransomware', que no parece que vaya a resolverse pronto.
|
etiquetas: ransomware , adeslas , seguridad informatica
- ¿Contratar y pagar a unos informáticos de verdad? que forma de tirar el dinero- dijo el CEO puesto de coca en el puticlub de lujo...
- ¿Contratar y pagar a unos informáticos de verdad? que forma de tirar el dinero- dijo el CEO puesto de coca en el puticlub de lujo...
Pero este tipo de ataques ya es una realidad para todo tipo de empresas y la gente se acuerda de Santa Bárbara cuando truena. Cuantos remote Desktop hay abiertos?
Adiós Adeslas.
Saludos.
A Everis por ejemplo se rumorea que el ransomware que le colaron fue por un mail sobre el nombre del estadio del Atlético de Madrid (bien hecho por parte de los atacantes, el fútbol es capaz de enajenar a mucha gente y hacerle perder el sentido común y olvidar la prudencia) y alguno de sus trabajadores hizo click...
¿Cómo te proteges de eso? ¿De verdad puedes hacerlo, sin causarle problemas a los que trabajan en esa empresa y necesitan tener Internet y el correo electrónico funcionando con normalidad? Lo pregunto en serio.
Edit: Sí, vale es Everis, pero a Movistar también le colaron un ransomware si no recuerdo mal, y tenían a Chema Alonso trabajando para ellos.
Si no las tienes, pues pasan estas cosas.
Siempre puedes comerte un day0 pero vamos, esos suelen ser ataques dirigidos y una vez constatada su efectividad es cuando se venden en la deep y se lanzan de forma masiva.
Ejemplos, sophos o cortex si los configuras de forma estricta y tienes el parque siempre al 99,9% de despliegue y llevas los parches críticos al día con cosas como sccm o un Kace, buenas políticas de firewall, correo con un Gmail u office etc empiezas a estar bastante cubierto...
Entiendo que quien no haya pagado tal tipo de operación luego se la cobrarán
Hay un cojón y medio de soluciones, tanto para reducir la probabilidad de un ataque exitoso como para no salir escaldado en caso de que ocurra. Ahora, implementarlas lleva tiempo y dinero, y la seguridad es algo que se suele ignorar muy fácilmente ("¿Invertir dinero y no obtener retorno directo? Eso es de parguelas").
O a lo mejor no pasa porque no pueden pagar el rescate
La fórmula segura son las copias de seguridad y las pruebas de restauración. Si lo puedes restaurar de forma aislada los atacantes no pueden hacer nada contra esa restauración. El único factor que puede variar entre la restauración en el simulacro y la real es la fecha de los equipos, es lo único que podría hacer disparar el ransomware, pero la fecha de un sistema aislado se puede falsear.
Lo que te puede salvar, es un sistema robusto de copias de seguridad... eso te puede dar pie, a aislar, limpiar y remontar tu sistema de información. Lo que significa minimizar las pérdidas. Ahora, si no puedes levantar el sistema... entonces pasa lo que pasa.
Dicho esto, sólo hay que ver las webs y aplicaciones de Adeslas para darse cuenta del poco mimo que le ponen a su departamento de IT
Este año me he comido unas cuantas de estas y no es buena experiencia, están los atacados y los que van a ser atacados.
Lo más gracioso es que es básicamente lo que venden las aseguradoras, pagar por un seguro en el caso de que algún día lo necesites pero nadie te asegura que lo vayas a usar y mejor si no te hace falta, así que deberían ser las que mejor entienden porque se hacen este tipo de cosas.
Ambos fallos son negligencias graves, pero esto de Adeslas es varias magnitudes superior.
Pero tú te vacunas igual, y tomas los medicamentos que te receta tu médico al que también pagan las farmacéuticas y quieres que se gaste el dinero de la mejor manera posible para sentirte seguro.
¿y si aun así entra un ranson? Pues si el usuario tiene acceso solo a lo que debe, tiene el ordenador debidamente configurado (backup de datos diario del ordenador del usuario) es muy sencillo, se reinstala el ordenador del usuario, se restauran sus datos locales, y se restaura la copia de lo que tenga en red, que debe tener acceso a lo mínimo.
y así, entra uno y no pasa nada, pero si no tienes parcheado y puede moverse lateralmente, o no tienes parchado y puede escalar, pues estas jodido
Fui consultor.
Chema Alonso no trabajaba en el departamento de ciberseguridad de Telefónica.
El backup es la última medida de seguridad a usar
Es lo que tiene tener 2 informaticos que se sacaron la plaza hace 20 años y luego subcontratar el resto a distintas empresas e ir cambiando de empresa cada 2 años.
Conozco Adeslas de cerca, tienen a gente muy buena trabajando para ellos, y las políticas de seguridad eran más razonables que en muchas otras de las empresas que conozco. Las conexiones desde fuera se hacen con escritorios virtuales efímeros sólo para redes de confianza previamente validadas.
De hecho pertenece al grupo Mutua Madrileña, que ya sufrieron un ataque similar hace un par de años...
No obstante está claro que alguien la ha cagado. Supongo que con el coronavirus bajaron la guardia para facilitar la operativa a los empleados... y a tomar por culo.
Y desde luego que si tras la primera semana no levantas cabeza, es que te han follado hasta el fondo.
Me consta que se les ofreció ayuda desde otras entidades (es algo habitual) y que ni contestaron.
En un cliente nuevo, les hice un informe de todas las barbaridades que habia y los peligros, situacion critica. No aprobaron hacer nada porque su asesor particular decia que no era "estrictamente" necesario gastar en eso.
Un mes y pico mas tarde los servidores mas criticos del sistema se caen con suerte fue un jueves creo recordar, restauro cogido con pinzas el sistema en una maraton para que el lunes al menos funcionara todo lo basico y restaurar desde ahi.
Tras esto, reunion de crisis de empresa, asesor, mi consultora, etc. . Resultado: Hay que hacer lo que indicaba en mi informe de inicio en la toma del cliente, pero .... no quieren verme por alli y que yo este involucrado en nada con ellos, creo que llegaron a sospechar que yo tuve algo que ver en que sus equipos con mas de 10 anos sin mantenimiento alguno, etc,etc fallaran. Por suerte mi consultora confiaba en mi.
"Yo he visto cosas en Adeslas que vosotros no creeríais. Atacar naves en llamas más allá de Orión. He visto rayos-C brillar en la oscuridad cerca de la Puerta de Tannhäuser. Todos esos momentos se perderán en el tiempo, como lágrimas en la lluvia. Es hora de morir."
Adeslas1, para el que lo entienda
Solo deciros que teníamos como clientes a gente bastante famosa.
Y para pymes hay soluciones de sencilla implantación como los router de gl.inet (openwrt) que valen dos duros y en un periquete tienes una VPN con openvpn o wireguard.
No se los detalles del ataque , pero no me creo que no puedan hacer un restore desde las cabinas de backup en tres semanas. O alguien la ha cargado bien o no se entiende.
Otra cosa que tengan mil millones de sistemas ( muchos legacy seguro ) y que levantarlos.
Si tienen escritorios vdi no se entiende como han entrado.
Lo que tienen que entender las empresas grandes es que tienen que tener planes de contingencia y comprobarlos periódicamente.
Quizá deberían empezar a pensar más en gente con experiencia.
Trabajar directamente con la VPN es súper lento. Si tienes que enviar ficheros tarda un huevo.
Si está mal hecho la cosa cambia, pero eso es otra historia.
De todas formas sin saber cómo lo tenéis montado es difícil de ver los cuellos de botella.
Por eso me parece injusto que aquí estemos haciendo chanza como si fuesen unos gañanes absolutos que han descuidado lo más básico, que a mi parecer no hace justicia.
La empresa no es pequeña, pero no tengo ni idea que capas de seguridad tienen montadas,, pero me imagino que bastantes tienen, y sistemas de respaldo hay.
En muchos sitios es ciencia ficción. Como mucho compruebas tus backups tras una gran cagada, y entonces es cuando te das cuenta de la calidad de los mismos.
Vamos que tienes que seguir un protocolo para no reinfectarse.
Por cierto, el backup no es seguridad, es contingencia.
Y los planes de contingencia tienen que ser obligatorios no solo por riesgos informáticos.
Lo que dice #55