EDICIóN GENERAL

Más de 1.5 Millones de euros en Bitcoin como rescate a Everis, Accenture y Cadena SER

#4 No creo que sean tan idiotas de pagar. Supongo que tirarán de backup. Y si son medio decentes tendrán muy separados los entornos de backup y de prd.
#6 backup dice, si son ordenadores personales los más afectados, crees que los usuarios tendrían política de backups? xD
#10 Pues no debería ser necesario. Documentos en Sharepoint, código fuente en repos Git remotos y así, no hace falta backup local
#10 ¿Pero qué información tendrán los usuarios en sus ordenadores personales como para parar la operativa de la empresa? No sé, entiendo que si trabajas en un entorno con un archivo documental centralizado lo preocupante es que afecte al servidor no a los puestos de trabajo. Vale que luego viene limpiar esos ordenadores del posible malware que provoca esas acciones, pero eso debería de ser algo relativamente rápido.
#35 Lo mismo estaba pensando yo.

Mi ordenador ya puede arder que como mucho perderé algún borrador de informe que por algún motivo no esté en el servidor y trabajo en una administración.
#137 A lo mejor estaría bien saber exactamente qué tipos de archivo se han visto afectados...
#35 Pues en una consultora montones de documentos en Office, por ejemplo. Powerpoints de ofertas, Excel con datos importantes de empleados (evaluaciones, cambios salariales, etc).
#225 Pero dejan claro a su vez que los servicios de Office 365 si que les siguen funcionando y que los pueden usar. A la vez que teniendo ese servicio deberían tener los datos replicados ahí, al margen de lo que pudieran tener los servidores locales. Me da que ahí alguien no está usando las herramientas técnicas cómo toca y los responsables de ello no se están poniendo al tema de hacer que los usen bien. Aunque hay que valorar que puede ser que se hayan encontrado cada dinosuario en ciertos departamentos que les haya hecho tirar la toalla.
#35 Fliparias con lo que la gente lleva en sus portátiles sin backup ninguno.

En mi curro sin ir mas lejos llevamos dos semanas con un tema parado porque una compi esta de baja medica y se olvido de subir una serie de cosas que había cambiado ella HACE MESES al control de versiones xD Menos mal que no corre prisa :-D
#276 Venga, vale. Entiendo que yo soy un paranoico de las copias de seguridad y que lo normal es que la gente pase de hacerlas porque prefieren llorar después de haber perdido la información que poner remedio para no perder nada. A veces se me olvida lo frustrante que puede ser querer explicar a alguien que los documentos los tienen que guardar en "Mis Documentos" y no en el "Escritorio".
#10 entonces no veo el problema, se reinstalan y punto. Y si, cualquier empresa decente tiene política de backups para los datos locales de los empleados.
#10 en la cadena ser no se pero en ever is debería estar todo en repos independientes y lo de los pcs solo es una jodiendo para los usuarios
#10 Sistema de gestor documental, o a las malas un servidor de ficheros en red que sirva unidades por samba y haga snapshot de los ficheros y los ponga como solo lectura, como hace cualquier SAN corporativo.

Perderás los cambios del día, como mucho.
#10 los ordenadores personales importan 0

todo dato sensible se accede en servidores. Meter 5 copias según el entorno de trabajo y clonar 400 pcs es lo de menos, nadie va a pagar millones por eso.
#97 Eso no es verdad. Documentos intermedios o sensibles a otros empleados normalmente no se dejan en servidores.

Aparte de que cuando un equipo está infectado no puedes dejarle acceso a ningún servidor, lo único que haces es guardar el virus...

El ataque habrá podido tener lugar hoy, pero puede haber documentos infectados esperando el momento de activar el ataque desde hace meses, y ahí seguirán, junto a los backups.
#10 sí que hay políticas de cómo y dónde guardar los datos, si un usuario no hace caso se remaqueta el portátil y los datos se dan por perdidos. Si los datos eran importantes el empleado va a la calle por no seguir las políticas de la empresa.
#10 En telefonica tenían. Rollo One Drive/Box/Dropbox (en version para empresas). Creo que se les encriptaron los backups también xD
#6 No es tan fácil. Yo soy directivo de una gran empresa, cuando hemos tenido algún ataque a veces no te queda más que pagar. El último caso que recuerdo afectaba a los ordenadores personales, pero además encriptaba los ficheros que estaban compartidos en red, así aunque los servidores no estaban "afectados" todo el contenido compartido sí.
Haces cuenta entre unos miles de ordenadores, coste de recuperar backups, cerrar hospitales o limitar la atención, horas de los equipos técnicos invertidas y salía mucho, muchísimo más barato pagar.
No te hablo de España, donde desconozco cual es la política a seguir, pero el primero en presionar que no pagues con los organismos federales, porque total, a ellos no les va a costar dinero y coste de oportunidad.
#111 Mejor no digas aquí de qué empresa, porque si has pagado una vez, ya saben dónde meterse otra vez para pedir más pasta.
Deberíais tener un plan de contingencia para recuperar los servicios críticos, puede ser por un ransomware o por dos rayos que caigan donde guardáis los servidores. Lo importante es tener las cintas de backup aisladas y establecer y probar un rpo y un rpt correcto.
Respecto a los portátiles de los empleados, los usuarios deberían de tener sus ficheros importantes en algun sharepoint ADEMÁS de en sus portátiles. Se les puede joder por un ransomware o se les puede joder porque les explota la pila del portátil.
#116 No te preocupes, la empresa es conocida a nivel mundial y lamentablemente ya fuimos portada.
El mayor problema como indico no es en sí los datos, ya que los importantes, los datos sanitarios y financieros, están bien resguardados. El problema es el tiempo que se tarda en tener operativos nuevamente a miles de médicos y enfermeros, se restaura una imagen (disculpa pero yo soy médico, no se qué terminología usan los informáticos) que es virgen y les permite trabajar nuevamente, pero eso supone unos 30 o 40 minutos por cada puesto, y no puedo tener miles de ordenadores inmovilizados para estas contingencias.
Particularmente el gasto del rescate me parecía insignificamente, me dolía más en el orgullo, pero el orgullo no da de comer a miles de empleados.
#111 es obvio que si la segmentación de la red es una mierda, o directamente inexistente, estos ataques pueden afectar a todos los servidores, incluidos los de backup.
#111 Y, Lo más importante, ¿Qué aprendisteis? ¿Qué plan tenéis si vuelve a pasar?

Se supone que una empresa IT no debería de aprender de ese error, debería de estar preparada por defecto con copias de seguridad e imágenes listas para ser desplegadas y guardadas fuera de la red en servidores no Windows. En otros sectores es un error comprensible del que se aprende, no se cual será tu sector.
#140 Mi sector es la sanidad, pero como Director Médico mi responsabilidad es a su vez ser el máximo responsable del equipo de Informática. Al final aprendes que por mucho que creer diferentes VLAN, montes servidores de backup y una estricta política de seguridad, tendrás cientos de usuarios que son el mayor problema, usando DVD o pendrive infectados, o cadenas de correo o mil formas más. Pones políticas muy estrictas (como inhabilitar puertos USB) pero al final tienes que ceder porque hay que ser operativo. Realmente, a nivel de seguridad los servidores están en grando militar, pero lo que realmente te hace perder dinero es no atender pacientes mientras se restauran backups o se cambian discos (realmente era más barato y rápido iniciar con discos SSD y más tarde proceder a cambiar los encriptados).
#264 En el caso de Everis y similares no pueden permitirse lo del grado militar porque los trabajadores necesitan instalar software y el proceso de solicitudes si está bloqueado puede ser tedioso. Lo que si que pueden hacer es automatizar el proceso de restaurar backups para que se haga de forma inmediata y en remoto cuando sea posible, que es casi siempre si se ha montado bien todo. Esto llevaría incluso menos tiempo que pagar y esperar al código de desbloqueo. Claro, hay que invertir muchos recursos en montarlo y mantenerlo, pero en empresas del tipo de Everis es una inversión que compensa. Ayer mismo ya se habrían ahorrado el rescate. En condiciones normales, restauración de datos importantes que usuarios han borrado por error o han perdido al estropearse su disco duro local.
#111 Es muy fácil. Backup decente, y se acaba el problema. Todo lo demás son excusas para justificar la ineptitud y pagar.
#111 Es cierto que no es tan fácil... Pero, teniendo en cuenta que estos ataques se han vuelto bastante populares durante los últimos 10 años, lo que me esperaría es que cualquier departamento de IT de hospitales, clínicas, etc., estuviera preparado para atajarlo de raiz... o empezar a despedir a los mandos que haga falta por incompetentes.

Tener una política decente de backups, usar en los servidores sistemas de ficheros modernos (como ZFS, que te permite sacar snapshots de manera instantánea, y esos no se pueden corromper) y segmentar la red correctamente te soluciona el problema a un coste mucho mas bajo que pagar el rescate.
#6 como excliente de everis... lo que me sorprende es que hayan tardado tanto en caer
#6 Aquí, cierta universidad tuvo que pagar.
#6 #4 Pagaran por algunos equipos que tengan información importante. Luego dirán que no han pagado nada, claro. Pero vamos, fijo que pagan una parte.

Este tipo de hackers SIEMPRE cumplen su palabra. Es una inversion a futuro, si tienes fama de cumplir tu parte del trato la extorsión te aseguras futuros pagadores.

menéame