EDICIóN GENERAL
301 meneos
5184 clics
Ataque de ransomware en las sedes españolas de dos grandes multinacionales

Ataque de ransomware en las sedes españolas de dos grandes multinacionales

Las oficinas de DLA Piper y Mondelez en España están totalmente paralizadas: las firmas ha sufrido esta mañana un ataque informático que ha inutilizado todo su sistema informático.

| etiquetas: hackers , empresas
Comentarios destacados:                        
Dos grandes multinacionales... cualquier cosa :-D
#2 también han atacado empresas en más paises, curro en Reino Unido y nos han mandado un correo avisando que dos de nuestros proveedores están incomunicados
#9 no han sido solo esas dos empresas, la noticia se centra en las dos españolas porque es española, como ya he comentado en #22

Por ejemplo:
www.independent.co.uk/news/world/europe/ukraine-cyber-attack-hackers-n
Mmmmmm me gusta el olor a xploit de la NSA a la hora de la comida
#3 Pues ahora sin galletas con aceite de palma :troll:
#4 bueno pues solo queda cogerse un :popcorn: y a ver como termina esto
Maersk tambien ha caido, tiene pinta que el cebollazo ha sido gordo.
y todo por 300 dólares?? en serio??
#7 por cada equipo, es un paston
#7 #10 Hay compañías que han llegado a pagar 1 millón de dólares, como esta: www.meneame.net/m/netsec/ransomware-erebus-linux-compania-hosting-paga

#16 En el enlace anterior verás que también pasa en Linux ;)
#27 puede pasar, pero no pasa
#35 esos son otros sysadmin gilipollas que no actualizan el sistema, es otro nivel.
#38 Ya veo, cuando ocurre en Windows es culpa de Windows. Cuando ocurre en Linux es culpa de los sysadmins...

:popcorn:
#45 Yo no he echado la culpa a Windows, en ambos casos le he echado la culpa a sysadmins gilipollas, solo comento que es más fácil de mitigar.
#46 Bueno, yo lo decía por aquellos que lean tu comentario y piensen que Windows debería pararlo todo aunque no actualices. Te voy a dar la razón y mis dieses.
#27 Corriendo con el kernel 2.6.24.2 (publicado en Febrero del 2008. 9 añazos.)
La versión más vieja soportada por kernel.org es 3.2.89
Si estos equipos fuesen Windows sería como decir que se han infectado por que estaban usando Windows 98.
#36 El equivalente sería Windows Vista. Y Windows 7 solo se lleva un año (y no quiero saber cuántas empresas tiran de Windows 7 sin SP1).
#36 No, el bug fue corregido el 18 de octubre de 2016.

En 2007 se conocía, Linus trató de arreglarlo probablemente en 2008 pero no lo hizo bien y permaneció abierto hasta 2016.
github.com/dirtycow/dirtycow.github.io/wiki/VulnerabilityDetails

Tiene huevos porque lo de SMB1 al menos Microsoft no lo conocía y lo arregló en cuanto lo supo.

#44 Ni de linux ni de ningún SO.
#50 ¿No qué?
Estoy hablando de cuando salió esa versión concreta del kernel. Hace 9 años.
No he hablado del bug ni de la corrección.

#36 Bueno las versiones de Windows (y kernel ni te cuento) van muchísimo más lento que las de el kernel de Linux.
En lo que pasas de windows Vista a Windows 8 el kernel de Linux en comparación ha evolucionado una barbaridad. Ni color con lo que ha evolucionado el de Windows (si es que lo hace) en el mismo periodo.
#59 Donde pongo #36 quiero decir #50.
El puto cambio de tema de Mmn me jodió la vida. ¡¡¡¡Plataforma de afectados ya!!!
#59 ¿y cuál es la relevancia del kernel que usen si el mismo fallo estuvo presente en las subsiguientes versiones del kernel hasta finales del 2016? Da igual que usasen un kernel de hace nueve añazos si con los más actuales tendrían el mismo problema.

Que por otro lado, uf, nueve añazos, qué viejo. Nueve años son un suspiro, el soporte normal de cualquier windows es de 10 años.

Aún así, con nueve añazos, se puede parchear igualmente el vetusto kernel. Pero ahora, no antes, porque antes no…   » ver todo el comentario
#67 En lo de los números es posible. Creo que desde el cambio del tema al menos un 5% de las veces me contesto a mi mismo.
En lo del bug estoy de acuerdo contigo. Pero no es oro todo lo que reluce.
Para empezar se trata de un bug para el que hay que tener acceso local, Por ejemplo en el caso hostings no virtualizados.
El bug estuvo mal arreglado por que no funcionaba en uno de los sistemas soportados por el kernel (IBM system 390). Por eso fué lo del mal arreglado.
Mientras tanto estuvo…   » ver todo el comentario
#75 perdón por el negativo, fue sin querer. Te compenso
#91 Ni falta que hace, nos pasa a todos.
#27 mierda pues qué putada porque iba decir que se habrían ahorrado dinero si hubieran comprado Max en vez de Windows
#27 Ese ataque se basó en DIRTY COW, una vulnerabilidad que fue corregida en octubre de 2016.

El que no actualiza se la juega, independientemente del sistema operativo.
#10 eso me cuadra más!
gracias por la aclaración!
#7 todo por empeñarse en usar Windows
#16 Todo por empeñarse en no tener actualizados los sistemas y clicar en el primer exe que te mandan
#16 Y aún hay empresas donde el primer requisito a cumplir al desarrollar una aplicación web es que funcione en Internet Explorer. En lugar de cambiar de software siguen pagando licencias, haciendo mierda y exponiendose a estas cosas.
#25 Dilo todo: Que funcione en IE6. Eso lo he visto yo, que le pedian a un compañero que funcionase en IE 6 una web.
#68 La culpa no es de la empresa, es de los usuarios. Como empresa quieres llegar a todo tu mercado potencial, si los clientes usan versiones antiguas, o das soporte o pierdes clientes
#73 Cuesta mucho ver cacharros Atari conectados a Internet, Amiga tampoco es precisamente común, eso los salva de ataques prácticos. Teniendo en cuenta que la mayoría de máquinas con conexión directa entrante a Internet son Linux y BSD, usados en gran mayoría de servidores y enrutadores, es estadísticamente ridículo. La masificación y la baja calificación de los administradores de sistemas, la falta de mantenimiento y el exceso de confianza provocan la mayoría de problemas. Las políticas de copias de seguridad y actualizaciones de los sistemas sigue siendo fundamental para reducir el riesgo.
#77 Efectivamente, no es un problema del so, de hecho hace ya 3 meses que salió el parche para el bug del smb. Con actualizaciones ágiles, backups y mejor formación estaría casi todo arreglado.
Sin embargo, cada vez que sale una noticia de estas salen siempre los ignorantes a decir que "eso pasa por usar Windows ", como si el resto de sistemas mayoritariamente usados fueran inmunes o no tuviesen bugs explotables. Los ficheros sobre los que tenga permisos de escritura el manazas que ejecute el virus o el desgraciado al que no le hayan parcheado el sistema siempre están en peligro, independientemente del sistema que sea.
#78 Desde mi humilde opinión, años atrás sí podía tener más sentido lo de que Windows era un coladero, porque cuando llegó la era de internet en los 90, el sistema operativo Windows no estaba tan preparado para ello, pero ahora está mucho mejor diseñado, si bien las actualizaciones siguen siendo relativamente más complicadas de gestionar, precisamente porque no están centralizadas, hay muchas herramientas que requieren actualización manual porque son de terceros. El esfuerzo para que las…   » ver todo el comentario
#80 salvo que te instales las cosas a mano (por que quieras versiones no disponibles por defecto en tu distribucion (por ejemplo gcc 6 instalado side by side en debian 8-D, o tengas cosas de pip que actualizar a parte, si bien la mayoria si, se actualiza de forma bastante centralizada.
¿Por qué lo llaman ataque cuando quieren decir virus? :-)
#8 por que no es algo que salte asi sin mas entre equipos por casualidad, han jodido casi todos los equipos de dos empresas, va dirigido contra ellos
#9 ¿Dónde está esa prueba? WannaCry no fue dirigido, y lo llamaron ataque hasta la saciedad...
#13 wannacry fue dirigido contra muchas empresas, no era un software que se suelta a ver hasta donde llega, parece ser que se inyecto contra X empresas y de ahí se desmadro la ostia infectando otras tantas
#14 No fue dirigido. Y sí es un software que se suelta y que llegue hasta donde llegue. El caso es que las afectadas eran sensibles a ese virus.
#34 Los emails infecciosos no se los mandaron a Talleres Pérez, iban dirigidos a empresas del IBEX.
Cc/ #14
#9 Espero con ansia el dia que ataquen a los hijosdeputa de Linea Directa
#8 Quizás tu sabes que es un virus. Wannacry no era un virus, era un gusano.
#28 Pregunto porque desconozco. Si lo se, no pregunto ;)
#8 Por qué lo llaman virus cuando quieren decir empleados gilipollas que no han recibido cursos de seguridad y de sysadmins gilipollas que no ponen filtros de adjuntos en los servidores de la red local? :professor:

Si no usaran Windows no podrían infectarse y sería más fácil de mitigar.
#30 Por lo que he leído sobre el ataque del wannacry del mes pasado, han descartado que la forma de infección fuese por un adjunto en un email, sin embargo no han precisado cómo entró el gusano entonces
#30 "empleados gilipollas", "sysadmins gilipollas"...

Porque claro, todo el mundo es idiota y solo tú puedes posees una inteligencia superior que muestras a través de un par de frases en una web, ¿no?
#87 Es cuestión de prevención, no se le puede echar la culpa a las amenazas que siempre habrán. Evidentemente no se les va a obligar, pero que se atengan a las consecuencias. No quiero ponerlos al mismo nivel que los antivacunas, ya que eso requiere menos esfuerzo saberlo. :professor:
#30 El virus se transmite por un simple Link, no por un adjunto. Dudo que todas esas multinacionales tengan sysadmin "gilipollas".
Que están tramando los Nort Coreanos?
#11 Dejarme sin Milka :-(
Voy poner eso de salvapantallas de algún compañero y me voy a dar una vuelta por ahí, a ver qué pasa... xD xD xD
A ver si empiezan a tratar a los "buenos "informáticos como se merecen.....
#15 buenos profesionales, en general
#15 como mucho contrataran a una empresa que subcontrate a los informaticos, no como ahora que tienen contratada a una consultora que tiene contratada a una empresa que subcontrata a los informaticos
#15 Los "profesionales" están para echarles la culpa. Nada como un problema para unir a todos. Los profesionales evitan incidentes, los mediocres reaccionan de manera social ante un incidente. Nada como una guerra para unir a una nación y ponerla a trabajar.
#15 Ya no es tratar bien o tratar mal. Seguramente estas empresas ni siquiera tengan departamentos de seguridad informática porque "eso nunca me va a pasar a mi" y otros estén asumiendo (mal) sus competencias. Añadele al cocktail equipos desactualizados, falta de protocolo ante una infección de este tipo y como encima no haya backups te puedes llevar por delante la empresa o hacer que paguen un paston en códigos de desboqueo, que tal vez ni siquiera funcionen.
#15 No, porque los buenos informáticos dicen "locuras" como que no se puede garantizar la seguridad de los windows, y eso ningún empresario quiere oírlo.
#15 Hay que preguntarse muchas cosas:

-Quien hace el manteniminto de los pcs (empresa, que subcontrata a ...)
-Porque no estan actualizados (no se hace porque el servidor esta de pena o no se quiere reiniciar, porque no se pagan licencias porque el software es antiguo y no se quiere actualizar...)
-mil cosas mas.
¿Otros que tenían sin actualizar el Windows? :palm:
#32,#18 Esta empresa por lo que se tenía todo actualizado. Tal vez el ataque haya venido a través del grave agujero que tenía hasta hoy el windows defender. Hoy ha salido el parche pero dudo que mucha gente lo tenga instalado todavía. Probablemente se instale esta noche si dejan los ordenadores encendidos.
#37 No, en este caso parece que utiliza la misma vulnerabilidad que el WannaCry, es decir elexploiut EternalBlue. En ese caso, reconozco que algo de incompetencia si que tienen en esas empresas porque ya estaban sobre aviso de que esto podía pasar
Mientras que lo tengan todo arreglado para la campaña de navidad y pueda comerme yo mi turrón de suchard me da igual. :shit:
#19 esperate que en navidades abras el turrón y este encerrado en una caja de metal con un candado y unas instrucciones para poder comprar la llave con bitcoins xD
#19 Nooo que te puede venir el contagio del virus. Después te sientas en tu ordenador, escribes un comentario en meneame, y les infectas los servidores con el ransomware. Todo por comerte un turrón.
Me hace gracia la gente que hace facepalms porque tal o cual empresa no tuviera actualizados sus sistemas. Al final el parche que solucionaba la vulnerabilidad de SMB que explotaba Wannacry estaba disponible dos meses antes. Cuando hablas de multinacionales con decenas de miles de equipos con multiples casuísticas, miles de aplicaciones que analizar para ver si el parche impacta a sus operaciones, no se trata de tener activadas las actualizaciones automáticas de Windows como he llegado a…   » ver todo el comentario
#32 Y una mierda miles de aplicaciones. Alguna aplicación puntual puede haber dudas de que funcione correctamente o no. Pero básicamente es una mezcla de incompetencia, pereza y estupidez. En neolengua es "casuística", el termino exacto es "inútiles a patadas".
#40 No digo que todas las aplicaciones tengan que ser analizadas. Desde luego no es lo mismo Tesla cuya aplicación más antigua tendrá 3 años que una Telefónica por poner un ejemplo que tendrá aplicaciones antiguas de 20 años diseñadas para otro mundo que el que vivimos ahora. O sistemas en áreas de producción que para conseguir que te dejen desplegar unos parches en los mismos tienes que esperar meses por no poder parar la máquina. Los entornos son muy complejos, y desde luego que hay…   » ver todo el comentario
#32 Todo es gestión del riesgo. Por un lado esta el riesgo en la disponibilidad de parchear que se minimiza al hacerse por olas, con testeos de regresión automatizados y por entornos. Por otro lado está el riesgo a la disponibilidad, a la integridad y a la confidencialidad de no hacerlo que se te puede llevar por delante la empresa. Esto se minimiza con hotpatching, segmentación, antivirus, formación, etc... Dicho esto, en casi todas las empresas la clave está en que si algo falla por parchear el marrón para ti por hacerlo, si falla por no parchear "es que el Windows es una mierda" y nadie se come el marrón...
#52 Si si, que precioso todo, que mundo ideal...
Ahora se lo explicas a mi cliente cuya aplicación crítica que no puede estar caida ni 5 minutos, de la que dependen las ventas de su negocio, y en la que no invierte desde hace 15 años, está basada en Windows 2000 + SQL Server 2000.
Y no hablo de la tienda de Paco Pepe, es una empresa con tiendas en España, Francia y Suiza que factura un buen montón de millones de euros.
Que se merecen lo que les pueda pasar, por ineptos, pues si, porque no será por que no les hayamos dicho mil veces que un dia les revienta todo y no hay hijo de madre que lo arregle.... pero es que muchas empresas sólo se mueven así, a ostias....
#55 Amén, lee mi comentario #97 como ejemplo.
#32 mira, por experiencia, te voy a decir que cuanto mas grande es una empresa, menos controlan sus técnicos "de confianza".

en esas empresas los únicos que ascienden con amigos de o familiares de. esa es la triste realidad, quizás en alguna no, pero son las menos.

he trabajado para grandes multinacionales, y siempre, siempre, que había un problema técnico serio, la solución venia de los niveles inferiores, cada vez que un "elegido" de nivel 3 o mas, decidía algo, era una…   » ver todo el comentario
#55 Aunque sé a dónde vas, no estoy del todo de acuerdo contigo:
- La solución tiene que venir de los técnicos que para algo son técnicos y se supone expertos, y tienen mas experiencia y formación que sus jefes en ello.
- Si hay que tomar alguna decisión ya se tomarán en niveles superiores (según su complicación), en base a la información de los técnicos y de sus conocimientos de negocio. Cuanto más abajo pueda tomarse la decisión mejor, porque se será más agil.

Por lo tanto no veo un problema…   » ver todo el comentario
#61 ¿Sabes cómo funciona la cosa?

Hacer

Técnico: Tenemos estos problemas de seguridad: A,B,C y se pueden tomar las siguientes medidas X,Y,Z para solventarlos de forma eficiente.
Superior: Ah, muy bien, estupendo. ¿Y cuánto cuesta solventarlo?
Técnico: Cuesta 10
Superior: Ufff, pues mejor mañana, ¿vale?

Mientras... haya un mañana.
#32 Coño!! Una persona que sabe de lo que habla y no vive en los mundos de yuppi del parcheo, si no en la realidad de muchas empresas españolas y sus obsoletos e intocables sistemas.
La cuenta de bitcoins a donde irán los pagos: blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX para los que quieran seguirlos...
#43 Pregunta de desconocedor: ¿se puede trazar de alguna forma?
#51 En realidad sí. Puedes mirar el bitcoin (blockchain en realidad) como un gigantesco libro de contabilidad donde se asientan todas las transacciones que se hagan. Ese libro está replicado en cada ordenador que tenga un acceso a la red de bitcoins. Así que rastrear, se puede. Pero no tendrás ni nombres ni direcciones ip ni nada. Sólo tienes "números de cuenta" desde y hacia donde se hagan las transacciones.
#60 ¿Entonces realmente se puede cazar al que pide dinero?
#62 No porque no puedes saber quién es. Sólo tienes un identificador de una cuenta pero no sabes quién la controla. Cualquiera que tenga los datos secretos de esa cuenta puede mandar a transferir dinero. Por ejemplo bien podría la misma persona crearse otra cuenta y transferirse el dinero de una cuenta a otra. Después de esa otra lo cambia por euros y no habría forma de demostrar que quien lo cambió por euros cometió algún delito porque la cuenta es otra.
#62 Una agencia de inteligencia podría ser capaz de identificar una IP que este usando esa cartera quizás. O rastrear hasta los bancos que ingresen el dinero real después de cambiarlo.
#70 #72 Wikileaks advierte: Tus Bitcoins están abiertos a la CIA y a los criminales.:
www.technocracy.news/index.php/2017/04/17/wikileaks-warns-your-bitcoin
#92 Nada que no se supiese ya, si tienes a la CIA en tu pc da igual lo seguro que sea el BTC que estas expuesto totalmente.
#51 No, por eso se usa el bitcoin y las redes tor.

#43 Por lo que veo llevan 2380 dolares recaudados los cabrones.
#43 Por ahora parece que sólo han pagado 8
#66 una hora y 20 minutos después de tu mensaje, 13.. veremos a ver
#82 15 ahora mismo.
Hash SHA256:

027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

Aquí un análisis dinámico de un sample:

www.hybrid-analysis.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0
¡Compra bitcoin! ¡Compra!
Pues parecen muy profesionales Mientras tanto, la paralización es total: "No nos llegan ni emails al teléfono", Normal, a mí tampoco me llegan emails al teléfono
#58 eso es que se les ha cifrado hasta el servidor de correo
:-D
#58 Es que estas mirando el telefono del salon.
#71 joder acabo de caer que se referían al móvil, me hago viejo.... :-(
#58 xD Esperemos que sea un teléfono móvil inteligente, pero han evitado llamarlo con el nombre en inglés y han abreviado.
#58 Se referirán al teléfono
1. Capaz de entender o comprender.
2. Capaz de resolver problemas.
AKA "smart"
¿El mismo ataque que wannacry y aún caen tantos sistemas? el día que nos invadan los marcianos inutilizan el planeta entero con unos pocos clicks de ratón.
#86 Independence Day al revés
Mucho ataque a empresas españolas y luego la foto es de un portátil francés (AZERTY).
Si está claro que para marketing no valemos. :-x
"Infection seems to happen via Office docs (CVE-2017-0199) but also includes a network vector possibly leveraging MS17-010 just as WannaCry did - also includes support for copying itself via PsExec and WMIC however."

5K ordenadores infectados cada 10 minutos.:
www.anomali.com/blog/petya?utm_content=56629197

El bicho en virustotal.:
virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d2299289

"Los analistas de Kaspersky Lab…   » ver todo el comentario
«12
comentarios cerrados

menéame