Hace 1 año | Por painful a genbeta.com
Publicado hace 1 año por painful a genbeta.com

Alliance Healthcare es el cuarto mayor proveedor de medicamentos de España (suyo es el 10% del mercado) y desde el fin de semana (aunque no se supo hasta ayer), también la víctima de un ciberataque que hizo caer tanto su página web (que sigue inaccesible) como sus sistemas de facturación y de pedidos, lo que está causando el caos en muchas farmacias, que ya han empezado a darse de baja en la empresa.

Comentarios

capitan__nemo

#8 corsarios, con patente de corso

J

#45 Los Corsarios tenían licencia inglesa si no recuerdo mal.

a

#11 los ataques DDOS no los evitas con backups.

comadrejo

#25 El caso de la noticia y la mayoría de los ataque son secuestros de datos (ransomware). Son ataques con mejor rendimiento económico y mas efectivos que las denegación de servicio.

a

#28 tu crees? No es tan dificil montar un ataque DDOS, obviamente no vas a ir contra grandes empresas pero contra Pymes puede ser muy interesantes. Les deniegas el servicio por dias hasta que pague una cantidad.

t

#30 Un DDoS lo paras con la uña del pie, normalmente te lo para tu proveedor, y si eres medianamente importante, tienes soluciones en la nube para que no te afecte más allá de unos pocos segundos

a

#60 Un DDoS lo paras con la uña del pie, normalmente te lo para tu proveedor

La unica forma de parar un DDOS es usando un CDN decente (pagando). Otra forma no lo veo.

t

#61 Los proveedores decentes, se tragan todo el DDoS y te lo paran, bien sea en su propia red o mediante la infraestructura de un tercero, anunciando ellos la ruta que recibe el ataque.

La otra opción, es contratar lo que tu llamas CDN, que en ningún momento he dicho que sea gratis.

Si tienes los servidores en tus instalaciones, tendrás unos costes operativos de servicio dedicado de Internet, y podrás asumir 500€/mes por un Anti DDoS, y si los tienes en la nube, no tienes que preocuparte.

Al único que han hecho daño con un DDoS en los últimos años es a Andorra Telecom porque no tenía nada.

a

#63 "Los proveedores decentes, se tragan todo el DDoS y te lo paran, bien sea en su propia red o mediante la infraestructura de un tercero, anunciando ellos la ruta que recibe el ataque."

La ruta? Pero que ruta vas a anular? Un DDOS precisamente se caracteriza porque viene trafico de alrededor de todo el mundo y no es trivial saber que parte del trafico es real y cual del atacante.

AWS, que es el proveedor cloud mas grande de la industria, solo ofrece proteccion basica contra algunos tipos de exploits DDOS. Si quieres algo bueno que mitigue de verdad, tienes que pagar su servicio Shield Advanced que cuesta de 3000 dolares hacia arriba. Eso, o contratas Cloudflare.

Me llama la atencion que digas eso, que lo paras con la punta de pie, o que si lo tienes en la nube no tienes que preocuparte. No hijo, sino estas pagando explicitamente por una proteccion DDOS. Es como sino lo tuvieras.

t

#68 No quiero entrar a dar detalles porque no me gusta que la gente conozca con quién trabajo, pero ni como protección DDos uso Cloudflare, ni como nube utilizo AWS, Azure, Google, Oracle ni IBM.

Los proveedores anti DDoS "virtuales" trabajan estableciendo sesiones BGP contra ellos, ellos no anuncian ninguna ruta salvo que tus sistemas (o los suyos si quieres) detecten un ataque. No anulas ninguna ruta, haces que el rango de Ips que está recibiendo el ataque, pase por su sistema de absorción.


Imagina que tu proveedor maneja todas las IPs del 10.0.0.0/16, tu IP es la 10.0.5.33 y empieza a recibir un ataque. Automáticamente se detecta -o de forma manual- y se anuncia la ruta 10.0.5.0/24 por BGP (en BGP los prefijos menores de /24 no se propagan, con excepciones).
Todo el que quiera acceder al /24 en el que está tu IP, es redirigido a un punto, normalmente París o Frankfurt por tener mucha capacidad, es filtrado por el proveedor anti DDoS y te reenvían el tráfico limpio/legítimo a tu red.


Ya te digo, una de las cosas a las que me dedico es esto precisamente, hace 10 años un DDoS de 5 Gbps te tiraba un operador entero, ahora se reciben cientos de ataques al día (y mucho más grandes) sin enterarte.

PD. Si quieres investigar más te doy un nombre: Netscout, la recomiendo (aunque no es mi única bala)

a

#71 en nuestro caso, simplemente ponemos a Cloudflare como punto de acceso en el DNS y que simplemente nos filtre las peticiones. O sea es lo mismo que lo tuyo solo que el trafico siempre pasa por cloudflare haya ataque o no.

t

#73 Pero eso protege una página web, no una red. Si conocen tus IPs reales (una VPN no la puedes establecer contra tu sede pasando por Cloudflare de la forma que lo tienes puesto), estás vendido. Enviando un email desde tu dominio saben la IP del servidor y te lo tiran igual.

Si tienes un servicio de internet dedicado, normalmente te dan un /28 como mínimo y en RIPE suelen poner que son para ti, por lo que estás vendido.

a

#74 por supuesto, hablo desde el punto de vista de una página web. Nuestro email es con Google, asi que no se ve la ip de nada.

No tenemos servicio de Internet "dedicado". Todo nuestros servicios están alojados en AWS.

K

#25 Aun que el artículo no deja claro si es DDOS o ransomware, hay cosas en la noticia que apuntan al segundo. Un DDOS te tira la web, pero sería de locos tener expuestos a internet, de manera directa, los sistemas de facturación o pedidos. A ver, si no hacían backups todo es posible, pero ya me parecería de una temeridad absoluta.

a

#33 de locos? Me parece lo mas probable. Que si, que puedes bloquear el trafico y que las farmacias se conecten por VPN, pero eso es un latazo para gente que no tiene conocimientos informaticos y no es practico hacerlo asi. Aparte que no te evita un ataque DDOS, simplemente te atacarian al punto de acceso a la VPN y con tumbarte la VPN ya lo tienen.

Lo mas probable es eso, que sea una pagina web abierta a internet donde se loguean con el tipico usuario-contraseña. Para protegerte ante un ataque DDOS, tendrian que pagar la cobertura de algun servicio CDN decente, cosa que quizas no esten haciendo.

K

#35 Creo que no me has entendido o me he explicado mal. En cualquier empresa medía (no voy a entrar en microservios) tú tienes unos sistemas front, que pueden estar expuestos a internet u otras redes, y unos back, que no deberían estar expuestos, y normalmente, entre ellos se hablan por un middelware o ESB. Jamás de los jamases dejas acceder a otros a tus back de forma directa, ni por VPN ni nada, solo faltaría meter a gente de fuera en mi red interna.
Si tú atacas un sistema front, vale, lo tiras, pero el impacto se queda ahí, y dado el caso, si quieres, lo cortas en el middleware. El impacto no se transmite a otros sistemas. Que se te ha caído el front web, bueno, pues puedo seguir funcionando en persona, por teléfono, correos electrónicos u otros canales. Pero es que artículo dice que no funcionan los sistemas de facturación y pedidos, que son back, y que están haciendo las cosas "a mano".

a

#43 bueno esque lo más probable esque no tengan otra forma de interactuar con el back más allá del mismo frontend. Usarán la misma herramienta para ambas cosas.

K

#48 Es posible, pero si es así y viendo el tamaño de la empresa y lo que factura, me parece una chapuza colosal. Por poner un ejemplo, he trabajado muchos años en telco y lo conozco muy bien. En una telco puedes tener, fácil, 7 u ocho canales de front solo para clientes, y aun que muchos son front tampoco están disponibles para que los use cualquier externo, . Por citar así rápidamente, tienes web de internet, la app, CRM, IVR, la propia red del operador (SMS o comandos de red), la aplicación de tiendas, la aplicación de call centers, etc. Y luego tienes varias decenas hacia otros, como la policía, la CNMC, el sistema de portabilidades, los proveedores, la gestión documental, sistemas externos de detección de fraude o de calidad de red, con bancos, etc.
Si es como dices pues son lo peor, informáticamente hablando, solo tenían un canal y además no estaba suficientemente aislado de los back.

K

#11 También es cierto que ha día de hoy, muchas empresas solo tienen sistemas de backup en línea y continuo, no hacen la copia y la mueven a "off-line". Si el ramsonware te pilla un servidor que tiene acceso continuo al servidor de backup, nada evita que también te encripte, desde el primer servidor, todo el sistema de backup. Y ya la tienes liada. Que si, que es un coñazo un sistema off-line, pero es la protección mas segura.

swapdisk

#36 yo tengo algo así:

trabajo --> nube 1
un ordenador privado, desconectado de los otros del trabajo, con acceso a nube 1 y nube 2 y un cron --> copiar de nube 1 a nube 2
nube 2 está aislada y mantiene las copias

Además de la copia offline, por supuesto.

¿está bien así?

K

#41 Está mas que perfecto

swapdisk

#44 es que con ese tema me he puesto en modo paranoico. Todavía recuerdo la mañana de lunes, durante la pandemia, que al conectarme todo iba muuuuuy lento y resulta que habían cifrado todo el NAS y el ordenador principal.

Libramos gracias a las copias de seguridad y a un detalle adicional del NAS: archivo que cifraban, desde el ordenador al que accedieron, archivo que se iba a la carpeta "recycled" a la que ese ordenador no tenía acceso, al sustituirse por la copia cifrada. Al final reconstruir el NAS fue cosa de unas horas.

Pero todas las copias accesibles desde el ordenador hackeado las cifraron o borraron, la nube a la que accedía la cifraron (lo mismo, todo a papelera), etc. Al final se reinstaló hasta el sistema operativo porque no nos fiábamos de poder dejarlo todo limpio. Y así y todo, se perdió algo de información.

Desde entonces: copia lunes/miércoles/viernes/mensual/trimestral/semestral/anual todas completas (no incrementales) y separadas. Además de la diaria en HDD USB y a mi casa conmigo.

Paranoico? Puede... pero duermo mejor.

swapdisk

#44 ah, me olvidaba... Y el ordenador de contabilidad y demás ha pasado a ser una VM dentro de un hierro sin conexión (el host no tiene configurada la tarjeta de red) y nunca está funcionando si el menda no está sentado delante, y todos los viernes me llevo una copia enterita de la VM en un SSD USB.

D

#36 Cuando las empresas y la puta directiva de seguridad establece que al acceso a los datos es más importante que la seguridad de éstos pasa lo que pasa.
Estamos con reglas de seguridad y acceso a datos de los años 80 y 90 y desde tiempos del IloveYou, Blaster y Sasser esas medidas no valen para una puta mierda debido al ubícuo acceso a internet.
Se debería primar primero la seguridad en el acceso a recursos y también el aislamiento de estos, eso de primeras. Lo segundo, todos los backups offline, punto. Ni nube ni hostias. Servidores in situ.
Y por supuesto todo virtualizado, que para oficina ya nadie necesita algo más que un thin client.

Y por último, correos en texto plano y obligación de mandar todos los adjuntos en ZIP descartando el resto configurándolo en el MTA y/o MUA.

K

#50 Hey, que yo ya a finales de los 90, en uno de mis primeros curros, mi obligación era sacar la cinta del backup todas la mañanas, a la caja fuerte ignifuga, con todas las del mes, y sacar la del día siguiente para hacer el nuevo backup. Ahí ni ransomware, ni DDOS, ni hostias, por tener no teníamos ni equipos conectados a internet en la red de trabajo. Ríete tú de la seguridad de los 90.lol lol

D

#52 Muy bien, con cintas LTO supongo. Pero no estamos en los 90. Hoy los ataques no son solo "internos", pueden liarla desde dentro y fuera y para más cruz se permite la mierda del Outlook y documentos con macros.

s

#36 He tenido discusión con comerciales, diciéndome que eso de las copias offline ya no se lleva y que ahora lo bueno son las instantáneas online en algún sitio remoto.
Luego con este ambiente y el precio de los LTOs y los robots de cintas quien convence al jefe....

D

#53 Me la suda que "no se lleve". Más de un comercial debería llevarse sí, merecidamente, una hostia para bajarlo de la nube, nunca mejor dicho...

s

#55 Solo se convencen cuando viene el lobo. Yo he vivido lo que es estar al lado de una nave industrial en llamas, con un juego de cintas en una cajita de cartón. Y en ese momento, lo única que piensas, que esa cajita es demasiado pequeña, por el valor de lo que contiene.

Jesulisto

#9 Yo atiendo no menos de uno a la semana y se tira de backup y ATPC, que puedes perder unas horas o un día de datos pero nada para tener que parar las operaciones.

uyquefrio

#13 Ahí si que puedes decir lo del al tercer día resucitó.

Jesulisto

#15 lol lol lol lol lol

a

#9 pero quien ha hablado de ransonware? Puede ser un simple ataque DDOS

D

#22 Si, es curioso que muchas no tienen problemas en pagar seguros de robos, incendios, inundaciones, por si hay problema en el local, que está bien, pero cuando se habla de donde está gran parte de lo que posibilita su negocio, que son los datos, entonces todo les parece caro.

E

#9 un día de pedidos que tiene costes elevados, que exigen trazabilidad, que en algún caso hay que garantizar seguimiento de la cadena de frío...

He vivido la situación en otra empresa y aunque se siguió trabajando en papel hubo que dedicar muchas horas a trasladar esa información al sistema y hacer un inventario, mucha gente ni sabía usar los formularios "analógicos" en papel que se habían digitalizado

B

#9 Totalmente cierto que un buen backup te protege mucho y te facilita la tarea de restauración, pero no es tan fácil como restaurar y aquí no ha pasado nada, debes encontrar el agujero por donde han entrado y taparlo, si restauras maquinas enteras debes asegurarte que el backup de ayer no tenga el bicho dentro mirando IOCs (indicadores de compromiso) etc. tener backups te salva los datos pero es mas laborioso de lo que parece.

swapdisk

#9 por lo que me contestaron la última vez que dije algo parecido: sí y no. Si, en caso de que el ransomware haya sido directo (un ataque por escritorio remoto por ejemplo) pero No en el caso de que infecten y se quede latente durante mucho tiempo antes de activarse infectando todas las copias, que se cifrarán automáticamente cada vez que las restaures o algo así.

Es un asco que haya gente con tanto talento dedicándolo a tocar las narices y hacer daño al prójimo

t

#7 pues deberían haber dedicado unos 140M a IT y unos 14M a seguridad... no se pq me da que no decian ni el 10% de eso... despedirán al CISO y a 4 persons más y las empresas de servicios a frotarse las manos con los proyectos del año que viene...

m

#7 quizá lo le convenga

LeDYoM

#57 La verdad, los medios de comunicacion no ayudan.
Lo sabemos cuatro informaticos y nuestro familiares y amigos que tienen que aguantarnos la brasa.

J

#64 La verdad, personalmente de informático no tengo nada. Pero lo descubrí en los libros de Chema Alonso. Autor del blog elladodelmal.com


Sin saber nada de programación acabe entrando en bastantes servidores o copias de seguridad de empresas tochas.

A los que conocía personalmente les avise y iba de cracker experto (en broma evidentemente) y a las empresas que no conocía solo les avisaba pero siempre me contestaba de que culpa del informático. Algo que cabrea bastante.

Algunos me pedían servicios para mejorar su seguridad, cuando les decía que no soy un experto en el tema pero podría ofrecerles otros servicios, estaban dispuestos contratar cualquier cosa solo para estar en su junta de dirección.

Fue algo divertido hace 10 años o más.

LeDYoM

#72 Tiene merito sin ser informatico.

Trolencio

No entiendo muy bien que beneficio se puede sacar de atacar al Sistema Sanitario ¿Tocar las pelotas para que estemos cabreados y no nos guste nuestro gobierno? Porque hay que ser cabrón, la verdad.

Trolencio

#2 Bueno ya, eso por descontado, pero esto quién lo encarga, a quién le interesa ¿Rusia, Marruecos, China, Cubazuela del Norte, nuestros propios y maravillosos aliados, la sanidad privada, algún partido político contrario al gobierno o qué podría ser? Muchas incógnitas.

a

#5 hay muchas teorias. Se dice que Corea de Norte usa mucho los ataques ciberneticos para conseguir financiacion.

M

#5 Me da la impresión que te está costando un montón entender que hoy los ""hackers"" más que atacar para dañar por dañar (como ocurría en los inicios de la Internet), se ataca con fines extorsivos de cara al pago de algún rescate económico o similar.

LeDYoM

#32 Los hackers no, los crackers.

M

#40 Si, por eso puse hackers entre doble comillas.

J

#47 No uses comillas, usa el término correcto. Ya están los periodistas para llamar hacker a cualquier cracker.

J

#40 Hay que decirlo más a menudo.

Mi hijo de 10 años siempre me corrige, se lo explique cuando tenia 7-8 años y se le quedo grabado.

D

#2 pero joden al paciente porque vas a la farmacia o el médico te mete el registro d medicamento en la tarjeta y no le deja porque dice que no hay existencias

comadrejo

#1 Pedir dinero por el rescate de los datos o por no publicar información confidencial. En algunos casos ganar dinero con la venta de la información obtenida.

Trolencio

#4 Mucho más sencillo que la película que me estaba montando.

m

#4 van a publicarla igual en el mercado negro

miq

#1 tinfoil

chemari

#1 Es el cuarto proveedor. Seguro que los otros 3 estan bien contentos con este ataque.

LeDYoM

#14 Quiza, pero cuando las barbas de tu vecino veas cortar...

Jakeukalane

#42 cuando estuve en una empresa de ciberseguridad una de las empresas clientes era una empresa de seguros y los que atacaban principalmente eran empresas de la competencia.

Nova6K0

#1 Pues lo llevan haciendo las "majors" farmacéuticas con los precios, desde hace décadas... Aunque entiendo lo que dices.

Saludos.

D

Espero que alguno de los que han perpetrado el ciberataque necesiten tomar una medicación urgente, vayan a por ella y no la encuentren, a ver qué gracia les hace, aunque lo mismo están en Vladivostok

ghotam

Un buen supositorio es lo que les han metido estos

D

Pues yo sigo necesitando aspirinas para el dolor de codo

sieteymedio

Yo creo que la empresa que se dedica a esto cotiza en bolsa bajo un nombre ficticio.

Vamos, que esto no lo hacen dos chavales desde casa, sino que hay gente bien trajeada que invierte en estas movidas.

a

#16 y quien dice que no lo hace dos chavales en casa?

Hubo un hacker que consiguio acumular una botnet de decenas de miles de nodos.

Simplemente usando un script que llame a ips publicas al azar, si te contesta un equipo hardware conocido (webcam, router, centralita...) responde scon una bateria de exploits conocida. Incluida probar los usuarios/contraseñas por defecto (sep, hay gente que los deja abiertos a internet con las credenciales por defecto). Si cuela, instalan el malware y ya tienen un nodo mas.

No hace falta ni grandes tecnologia ni una gran inversion. Solo paciencia e ingenio.

swapdisk

Hablo desde el cuñadismo total y desconocimiento absoluto... ¿calificar los ciberataques y ransomware a empresas de suministros básicos como luz, agua, combustible, sanidad, hospitales, etc como actos de terrorismo y perseguirlos con el mismo ahínco que si hubieran matado a 50 personas en mitad de la plaza del pueblo no ayudaría? Pregunto...

G

#38 entra dentro de lo posible que se hayan comido cualquier cosa por desprecio temerario a la seguridad informática, o incluso por un bug propio.

Otra cosa sería si quedara probado que fue un ataque a medida, no contrarrestable con técnicas habituales, por motivaciones politicas o economicas y que afecte directa o indirectamente al público. En ese caso estaría de acuerdo en que quizás pueda considerarse terrorismo, es que si no es llamarle terrorismo a cualquier cosa

K

#38 Terrorismo no sé, tampoco es que estén intentado someter a la sociedad por medio del miedo. Pero existe un delito agravado de daños que se llama estragos, creo, y si que podría ser el caso.