Hace 4 años | Por A_D a adslzone.net
Publicado hace 4 años por A_D a adslzone.net

El pasado 4 de noviembre nos hacíamos eco de una nueva campaña de ransomware que afectó a la Cadena SER y que se aprovechaba de la vulnerabilidad BlueKeep para que la todavía hay millones de ordenadores vulnerables. Este ransomware, llamado Ryuk, entró a través de un correo de phishing en un ordenador de la empresa, y se extendió por toda la red local. Dos semanas después del ataque, todavía no se han recuperado.

Comentarios

OZYMANDIAS

#56 jajajajajajaj, por lo menos, al que le paso en mi empresa estuvo muy comedido los siguientes meses, ni se le oia

D

#15 ¿Pero cómo infecta a otros equipos en la misma red? ¿Qué servicio abierto aprovecha para ello?

D

#21 no lo sé, en nuestro caso se aprovechó de que la red es transparente a todos los equipos, tenía a la vista los discos de todos los otros equipos

D

#32 Mismamente como en los Hospitales de la Comunidad fe Madrid.

D

#32 goto #59

D

#32 El follón de permisos, autorizaciones y similares que tenemos que dar nosotros para permitir que otro escriba en un directorio de mi disco es de alivio.
Aún así, solo con que escriba en las unidades de red compartidas, ya tenemos un follón de tres pares de narices. Aunque al menos ahí hay copias de seguridad y cierto nivel de autorizaciones, los informáticos no hemos conseguido evitar que los usuarios un poco más avanzados las utilicen como si fuera un propio CPD.

c

#23 Buffff. No hace falta ni vulnerabilidad

D

#52 ya, pero así lo quieren por cuestiones de facilidad de acceso, y no quieren oír hablar de otra cosa en dirección que pueda interferir con el empleo tipo luser de los recursos, así que estamos con cuatro ojos encima mirando todo lo que se menea si nos parece raro, y con antivirus, anticripts, anti- de-todo

D

#21 por lo visto el sistema de escritorio remoto de windows. No se, ni como se atreven los de microsoft a ponerlo sabiendo como se ponen.

D

#24 ¿Y no se supone que te pide clave?

Alucino...

c

#33 Vulnerabilidades sin corregir

D

#33 tiene una vulnerabilidad, lo que pasa es que una aplicacion muy susceptible de ser asaltada, y microsoft nones exactamente una compañi que destuqe en seguridad.

comadrejo

#24 No solo eso, lo venden más caro que un Jamón 8 Jotas. 5 licencias CAL de terminal server cuestan más de 400€.

c

#21 Parece ser que principalmente SMB y RDP.

snowdenknows

#21 los equipos a los que tiene acceso por red, les encripta el disco duro. creo que es asi

b

#21 SMB y RDP son los dos protocolos más utilizados.

Verdaderofalso

A partir de ahora se van a tomar más en serio la seguridad informática

C

#9 ja ja ja ja ja eso solo pasará cuando los jefazos de alto nivel sean castigados. Lo certero es que estén buscando a un cabeza de turco de muy bajo nivel, fuera del círculo de amigos.

D

Titular alternativo:

Los informáticos no dan abasto reinstalando sistemas operativos y programas

A_D

#7 dice la noticia que pagar tampoco es garantía, lo tienen "complicado" por lo visto

#10 hombre garantia en la vida no hay nada pero vamos que si nadie lo ha pagado es la paradoja de la garantia , si no ha pasado hay muchas posibilidades...

V.V.V.

#10 A mí no me extrañaría que esto haya surgido porque no tienen un servicio informático con buenos y experimentados trabajadores bien pagados, y porque todo lo hacen funcionar con becarios a los que explotan.

#FreeAssange

robustiano

#7, #10 Ojo con lo de pagar, a veces ni los mismos juanquers han contemplado el descifrado... roll

#67 bueno eso es porque no lo han pretendido lol no que no funcione

frg

¿Y los clientes de Everis?, ¿tienen ya todos sus datos?, ¿van a denunciar a Everis por perder información?

A_D

#30 pues es verdad, de eso no se supo más ¿no?

comadrejo

Sistemas de juguete para tareas serías.
Como los cajeros Windows que los desvalijan en remoto.

r

Ya no es solo temas de recuperar backups, es simplemente que si algún trabajador conectado a la red, por accidente vuelve a abrir un fichero infectado o lo que sea... PUM otra vez se propaga.

En mi empresa nos pilló en octubre, siguieron llegando correos con ficheros infectados, y hubo una lumbreras que volvió a abrirlo y tuvieron que tirar del cable a toda hostia.

m

#39 en este caso no es de los que se autopropagan, lo despliegan manualmente desde un servidor a toda la red.

OZYMANDIAS

joder, es que nadie hace backups?

JORGE75

#2 se come los backups del nash

V.V.V.

#4 ¿Los servidores no son NAS en lugar de nash como dices? ¿o estás hablando de otra cosa? Pregunto por curiosidad porque no tengo ni idea del tema y había oído NAS nunca nash.

#FreeAssange

D

#6 Sospecho que ha sido cosa del corrector de su móvil/tablet

V.V.V.

#19 Ah, vale. Gracias por la aclaración.

#FreeAssange

lecheygalletas

#20 sospecho que era ironía.

V.V.V.

#51 ironía

Del lat. ironīa, y este del gr. εἰρωνεία eirōneía.

1. f. Burla fina y disimulada.

2. f. Tono burlón con que se expresa ironía.

3. f. Expresión que da a entender algo contrario o diferente de lo que se dice, generalmente como burla disimulada.


Sospecho que no.

#FreeAssange

OZYMANDIAS

#4 supongo entonces que el equipo infectado esta usando una cuanta con privilegios en el NAS de produccion, incluso mejor, en mi empresa tuvimos un amago pero solo pudo llegar hasta donde la cuenta de usuario infectado llegaba, todo recuperado en un par de horas, seguridad basica + backups y no tienes que temer a un ramsomware

D

#41 Pues para no tener que temer a un ransomware, en mi empresa nos gastamos un pastón de narices en medidas preventivas, perimetrales, locales y otros xxxxles varios para intentar estar preparados cuando alguno se cuele. Que se colará.

OZYMANDIAS

#71 de eso se trata. De estar preparado. Cuando pase el mal será menor. Y en unas horas o un par de días todo corriendo como antes

m

#41 eso sería un ransomware de chichinabo, hoy en día te comprometen la red a mano, el primer equipo infectado sólo es el punto de entrada, de ahí se mueven lateralmente, obtienen credenciales y cuando tienen privilegios suficientes, manualmente despliegan el ransomware a todos los equipos, si hace falta desactivando el antivirus antes. La clave es detectar que tienes a un acatante en tu red durante probablemente semanas, el ransomware es el 1% del ataque, y es lo último que ocurre.

OZYMANDIAS

#76 y las credenciales las sacan de?? Yo tengo inhabilitado la ejecucion de. Exe desde carpeta temporal aparte de que los usuarios no tienen privilegios de admin.asi que ya me dirás. Es importante no dejar que se ejecute nada y que en caso de hacerlo infecte lo menos posible. Ya te digo que mi empresa es muy golosa y no han podido joder casi nada la primera vez y nada en la segunda.

m

#78 si piensas que limitando la ejecución de exes desde carpetas temporales te habría librado de este ataque estás muy equivocado (nadie hoy en día usa métodos tan cutres), y si piensas que no se puede escalar privilegios desde cuentas de usuario entonces lo estás doblemente.

S

#78 Pues algunos ransom van con brute-forcer incluido para sacar credenciales, otros con exploits (en algunos casos zero-day o muy recientes) para las NAS que permiten ejecucion de codigo remoto sin necesidad de login y pass y la lista sigue. Es incluso posible que sea un ataque dirigido y se hayan pasado semanas o meses estudiando tu empresa, su funcionamiento y hasta buscando al empleado mas vulnerable por si utiliza la contraseña de su sesión de trabajo en servicios externos recientemente vulnerados.

Y tal como te dice #80 las escaladas de privilegio existen, asi como salir de contenedores o de jails.

OZYMANDIAS

#86 evidentemente. Pero no es el caso de la noticia. Para el típico que te llega en archivo adjunto por correo con lo que digo basta. Para ataques personalizados la historia cambia y hay otros niveles de protección adicionales. Aunque al final si alguien se empeña en entrar, entra.

Salud.

ochoceros

#2 Tendrán una mala política de backups. Usarán una sola copia, la tendrán siempre online, y no guardarán históricos de más tiempo en formatos RO (DVD/BlueRay) de los sistemas más críticos.

#4 Esperemos que al menos respete los de Crosby, Stills & Young

OZYMANDIAS

#5 es que lo primero que haces es rastrear donde coño esta el archivo infectado, le cojes de las orejas al usuario, le quitas el ordena, lo desconectas de la red y lo formateas (o le das uno nuevo), tiras de backup para recuperar los datos cifrados y los del usuario torpe y a correr

Quitatelavenda

#44 jaja cuando te das cuenta de que estas infectado ya es tarde

OZYMANDIAS

#53 no si ese puto usuario solo tiene accesso a unidades de red de su departamento y a su ordena, en ese caso el daño no es tan grave y se puede recuperar usando backups

A_D

#2 dice en la noticia que han podido recuperar algunos sistemas que utilizan, así que estarán tirando de backups , imagino

frg

#12 Para hacer radio, no creo que necesiten gran cosa. Sospecho han reinstalado, ...

A_D

#31 también podría ser

a

#2 ¿ qué coño es eso ?

mmlv

Desde mi total ignorancia en este tema pregunto: ¿no hay forma de evitar que un ataque de este tipo afecte a todos los ordenadores de una empresa (que supongo están conectados entre si por una intranet)?

mmlv

#11 ¿Entonces si la persona que abre el correo en cuestión se da cuenta de lo que ocurre puede evitar el desastre?

P

#8 el virus se dispersa por la red, sin síntomas. Horas, días, o semanas después se activa por un timer, un evento o lo que sea, en todos los dispositivos a la vez...

D

#18 ¿te refieres al actual de la noticia? El que nos pilló a nosotros no se extendió, operaba desde el equipo infectado y era algo deficiente pues se puso a encriptar carpetas por orden alfabético así que pudimos ver hasta dónde había llegado

comadrejo

#18 Solo en los productos Microsoft.

m

#18 en realidad el ransomware no se dispersa hasta que alguien le da al botón, lo que hacen estos grupos durante semanas es reconocer la red y extraer credenciales de manera que posteriormente se cause el mayor impacto posible. Luego desde un servidor (normalmente un controlador de dominio), despliegan el ransomware a todos los sistemas a la vez.

SteveRogers

#8 Claro que hay formas y productos que impiden ese tipo de infecciones......otra cosa es pagarlos y configurarlos correctamente....

c

#8 Si. Teniendo la.seguridad en condiciones y tirando del cable a la mínima.

OZYMANDIAS

#8 usar cuentas de usuario que solo pueda acceder a lo que necesite (ningun sistema de produccion), y si tienes que acceder a distintos entornos, cuantas dieferentes con contraseñas diferentes, asi nadie entra donde no tiene que entrar y tienes todo compartimentado,con lo que en caso de ataque, pues el daño es menor, luego tirar de backup (online y offline recomendado para evitar sustos) y listo, claro que lo indicado arriba tiene un costo mas alto que "abre todo a todos que asi no tenemos lios luego" y requiere inversion en infraestructura, aparte alguien minimamente competente que lo configure y monitoree

ea rollo, salud

C

#8 si, piensa en una cantidad bien enorme de dinero para invertir en seguridad, que sea mega-enorme ¿Ya la pensó? Bueno, es mucho más de lo que acabó de pensar.

y

#8 si, estableciendo los permisos y controles adecuados. Muchas veces maquinas locales con usuarios administradores y accesos a toda la red por SMB. Llevar una buena gestión de la red es tedioso y caro, tiene una gestión del cambio complicada y no es amigable para el usuario (muchas quejas por las restricciones). Así que mientras no pase nada... tiran por el camino sencillo...

O

Si llevan dos semanas así lo mismo no necesitan ordenadores para realizar su trabajo.

Mosquitocabrón

#16 Que vuelvan a los ábacos, total...

D

#16 Tendrías que haber visto los especiales "la vida moderna" ... entenderías como se hace radio.

Varlak

#26 pues sinceramente, quitando algun capitulo concreto, en general me estan pareciendo malisimos.... creo que ahora se está notando que no tienen ni idea de hacer radio aunque sean buenos humoristas

manwy

#92 Pero sonorizan cosas de puta madre. lol

bralmu

Ya que estamos hablando del tema, me acaba de llegar un sms desde el teléfono 2677367 haciéndose pasar por Correos y pidiéndome los datos de mi tarjeta de crédito para pagar aduanas de un supuesto paquete inventado.

Cómo puedo saber de qué empresario es el teléfono, para ponerle una denuncia en la Guardia Civil?

M

#65 Trabajo en correos, pásame por privado tus datos y te gestiono la incidencia.

Se supone que si vas a poner la denuncia a la guardia civil, ellos averiguarán quién está detrás del número si pueden pero si ellos no pueden, tú menos.

bralmu

#82 No tengo ninguna incidencia con Correos. Son unos estafadores que se hacen pasar por Correos.
Ese enlace te lleva a una web que imita a correos y luego a un formulario para pagar con tarjeta.

Con lo cutres que son, tal vez ese n° de teléfono apunte a alguien de la banda.

M

#83 Ya lo sé, solo era una broma. Aún así, pásame tus datos y lo confirmamos. Trabajo en correos, en muy alto puesto, solo para fieles clientes.

efore

Quequé está la mar de contento con esto.

D

#46 no creo... Tenía mogollón de mierdas con las elecciones que se le han echado a perder... a no ser que se saquen un "diferido" de la manga..

animalDeBellota

Habrán sido los de Vox.

s

Sigo esperando el dinero en mi cuenta

JORGE75

Muy jodido el Ryuk, en la empresa donde trabajo nos ha pillado de lleno

#3 pues que paguen no les queda otra.... en este caso parace que esperan a que la virgen de lourdes baje

D

La infección de sociatismopijiprogre es peor

D

Está infectada e infestada.

End_OfThe_Era

Con Everis? No me dan ninguna pena, si acaso los pobrecillos que se han comido el marrón

h

Y qué tal educar al usuario de internet? No sería esto la primera medida? Tener que gastar millones porque un tipo abre todo lo que le llega...

D

#89 Llámame loco pero el que abrió el regalito seguro que ha recibido una buena educación o la va a recibir. Vamos que lo veo ordenando el archivo en papel una buena temporada.