EDICIóN GENERAL
274 meneos
4522 clics
Programas a 'capella', 'cassettes' y guiones a mano: así sobrevive la SER al ciberataque

Programas a 'capella', 'cassettes' y guiones a mano: así sobrevive la SER al ciberataque

"Estamos haciendo una radio muy ochentera. Los 'Hoy por Hoy' de estos días parecen los de hace 30 años". Así ha conseguido la cadena emitir a pesar del secuestro de sus equipos informáticos. Quedaba poco margen para entrar a antena. "Nos repartimos las piezas. Unos escribieron a mano, unos en los móviles o los dispositivos que tenían consigo".Los primeros en sentirlo fueron los trabajadores de 'Hoy por hoy', que eran los que estaban con las manos en la masa cuando el 'ransomware' —concretamente una variante bautizada como 'Ryuk'— empezó

| etiquetas: cadena ser , ataque informático.ransomware , analógico
Comentarios destacados:                    
#5 #4 En Everis desde luego no. Han tenido que parar un día entero y han restaurado puestos. Pero en algunos servidores la restauración era muy larga en tiempo y se inclumplian SLAs con clientes por lo que optaron por pagar (esto contado desde alguien de dentro en un proyecto donde ha pasado). Y la Ser se quedo knoqueada porque su contagio llego de Everis que es con quien tienen grandes contratos. La reunión del día siguiente de las 10 de la malaña en Everis con Prisa fue memorable...
¡¡¡¡Jakea esto!!!!! Nos estamos divirtiendo más, desde que empesastes a jakear!!

La Vida Moderna no ha notado nada.
#24 por la gran calidad y preparación de sus programas xD.
PD La fiesta del amoche
#24 Parece que hoy también ha habido samante.
#35 está grabado y en Barcelona, así cualquiera.
Yo suelo ver la vida moderna y los tios están encantados. Han vuelto a hacer programas en la azotea del edificio o en la habitación de las fregonas. Sin luz y trabajándo lo mínimo posible.
#33 No trabajaban así de serie los locos estos xD?
#3 Pues en la noticia dicen que han encontrado un "antídoto" y lo están aplicando para librarse del secuestro.
#4 En Everis desde luego no. Han tenido que parar un día entero y han restaurado puestos. Pero en algunos servidores la restauración era muy larga en tiempo y se inclumplian SLAs con clientes por lo que optaron por pagar (esto contado desde alguien de dentro en un proyecto donde ha pasado). Y la Ser se quedo knoqueada porque su contagio llego de Everis que es con quien tienen grandes contratos. La reunión del día siguiente de las 10 de la malaña en Everis con Prisa fue memorable...
#5 No conocía lo de Everis. Yo solo se lo que he leído en esta noticia. Interesante aporte, gracias.
#7 El golpe ha sido muy dirigido a Everis (y muy medido y meditado de como hacerlo).
#8 tiene sentido... everis da servicio a un montón de clientes y es un punto de infección bastante bueno
#5 porque hablais sin saber? Prisa Radio no tiene ningún contrato con Everis.
#9 Ok. Lo que tu digas.
#13 trabajas en PRISA? Porque yo si
#37 Vale. Pues entonces mis amigos de Everis mienten.
#39 estoy pensabdo que a lo mejor si hay gente de Everis, pero si son los que yo creo, no tienen red de radio
#62 Te garantizo que los amigos de Everis que tengo (un excompañero de empresa de mas de 10 años esta alli ahora por ejemplo) están convencidos de que ellos son los que contagiaron a la Ser. A lo mejor están equivocados, pero esto mismo lo he hablado con un amigo experto en seguridad hace dos días, ha salido en un hilo de seguridad de Telegram, etc...
#63 puedes pasarme el canal de telegram. Ya te digo que los ficheros cifrados son .RYK y no .3v3r1s. Tiene mas pinta de que haya venido de otra empresa de Buenos Trabajadores. En cualquier caso me da a mi que la reclamación va a ser millonaria
#66 Lo lei en uno de estos dos : t.me/joinchat/D4OOw05wA6Isfql1AIlPFg t.me/SeguridadInformatica .

Desde luego la broma es una millonada (parar todo Everis es la leche y la Ser esta en jaque).
#9 Pero si lo de Everis y la SER lo ha dicho hasta Francino en antena, no insultes a la inteligencia con gilipolleces.
Eso sí, se lo han tomado a risas, como si no tuviera mayor importancia y fuera guay ser hackeado, estarán orgullosos de tener sus sistemas subcontratados con cárnicas de mierda como Everis.
#4 Sólo hay un antídoto, y es gastarse la pasta en meter en plantilla unos cuantos informáticos. Porque igual a día de hoy son mucho más necesarios dos informáticos que diez ejecutivos.
#6 Por eso cuando pasan estas cosas yo me alegro. Que vayan aprendiendo a tener buenos informáticos en nómina con buenos sueldos!
#28 no quiero haceros volver a la realidad de una manera muy brusca. Pero pensáis que después de esto van a espabilar?
#41 #56 Ya se que no va a pasar, pero al menos que se jodan alguna vez cuando pase algo así :-P
#28 Informáticos en nómina con buenos sueldos, en vez de directivos inútiles por un pastón?
Si, y también unicornios alados paseando por el país de nunca jamás...
#6 Hoy día las empresas solo se acuerdan de los informáticos cuando necesitan programadores. Parece que nadie se acuerda de la figura del Administrador de Sistemas para tener las redes/servidores/seguridad en orden hasta que pasan estas cosas.

Pues nada. A pasar buen día.
#69 Es mejor DevOps juntando lo peor de la programación y lo peor del administrador de sistemas. Alias docker y su falsa sensación de seguridad.

Y por cierto, he visto mejores scripts hechos por administradores de sistemas que por programadores. Mucho más cortos, reducidos a su mínima expresión y modulares, donde los hacían multipropósito con facilidad.
#70 si cobras por programar a lo mejor no te interesa que tu trabajo se pueda hacer mas rapido en el futuro
#80 De ahí esas 2000 capas de mierda con kubernetes y demás.

Un sysadmin con scripts simples y vms podría barrer a la mitad de devops en una mañana y con mucha más seguridad.
#4 El único antídoto que existe para una encriptación, que yo sepa, es la clave.
#10: Y una copia de seguridad bien realizada.
#18 Eso pienso yo, hace tres años infectaron los servidores de producción de IB3tv y en una mañana ya tenía restaurada la copia de seguridad del día anterior, vale que solo eran unos 70GB, pero entiendo que las empresas deberian tener un sistema de respaldo adecuado a sus necesidades y tamaño.
#22 Una radio puede mover mucho más que eso al día.
#22 70GB al día es una mierda pinchada en un palo, en mi empresa tenemos más de 2TB diarias sólo de incrementales, y no somos nada del otro mundo, del montón.
#58 En el mundo multimedia en RAW son bastante más de 2TB.
#58 Bua, yo genero mas o menos eso diariamente con los vídeos e imágenes de los grupos del whatsapp.
#10 Pueden haber encontrado un patrón de generación, como ya ha pasado con otros ransom.
#10 format c:
#34 Eso en tu mundo, en el mío rm -rf /
#59 y si te secuestran la tabla inodos??
#4 el secuestro en si me da a mi que no va a desaparecer. Otro cantar es que se pueda eliminar todo lo asociado al gusano salvo los ficheros cifrados
#54 Es un programa dedicado a emisiones de radio, debajo es un HaikuOS pulido y adaptado al hardware que te venden en conjunto, que es un PC dedicado.
#48 entre apretarlo a h.265 y mpeg2k la cosa ya se ha vuelto manejable. Sobre todo para contenido que no necesita mantenerse a full de calidad.
#74 Ciertamente hoy con mpeg2ts para casi todos los estándares tienen de sobra, pero en audio (radio) tienen gaitas multipista y no en MP3 precisamente.
#51 con todo el respeto, lo que propones no es viable en el 99,99% de empresas grandes (sobretodo en este país). Si las conocieras por dentro lo sabrías. Yo llevo 15 años dedicándome a esto y sé lo que digo.
#75 ¿me dirás que en España se usan servidores Windows? ¿Are you from the past?
#83 En qué mundo vives? Claro que se usan servidores Windows, en España y en cualquier otro país... y Linux también, ojo, pero no vas a encontrar ninguna empresa sin servidores Windows. Te suena una cosa llamada Directorio Activo? Sharepoint? SQL Server? IIS? Exchange?
#85 Supongo que estás hablando de empresitas pequeñas, ok. Entiendo que o no hablas de entornos de más de 1000 clientes o no tienes ni puta idea.
#87 jajaja, no me hagas reir, por favor, he trabajado con empresas de todo el mundo, algunas con entornos de más de 150.000 clientes y miles de servidores. A ver si el que no va a tener ni idea eres tú e igual te va bien bajar un poco los humos.
SER o NO SER....esta es la cuestion....

si es que Shakespeare fue un visionario
¿Este tema es dependiente del sistema operativo? Lo digo por si pudiera haber sido evitado usando GNU/Linux (y en eso e informáticos tendrían que invertir) o no.
#17 tanto el troyano usado en la infección inicial como el ransomware son para Windows. Imagino que los servidores Linux se habrán salvado. La cuestión es que todas las empresas se basan en directorio activo de Microsoft, y el principal problema es cuando precisamente eso es lo que hay que restaurar.
#23 #17 Conozco varios desarrolladores de Everis con Mac que se han librado. Así que imagino que solo afecta a Windows
#36 En cualquier empresa deberían promover entornos heterogéneos con terminales de respando con Mac o Linux con un soporte decente, como Solus.

Si como principal no pueden por razón X e Y, el tener un entorno de trabajo secundario nunca está de más.

De hecho existe hasta un PC dedicado con HaikuOS y TuneTracker donde está especializado en emisiones de radio. HaikuOS suele estar en fase alpha/beta pero tienen una edición pulida para ese hardware en especial.
www.haiku-os.org/
www.tunetrackersystems.com/
#43 lo que dices no va a pasar nunca. Lo que deberían tener es detecciones de dumpeo de credenciales, cuentas de servicio con contraseñas fuertes y sin privilegios de admin de dominio. En general, gestionar decentemente las cuentas privilegiadas y los logins a equipos remotos. Es probable que los atacantes llevarán un mes como mínimo en la red antes de desplegar el ransomware. No ha pasado nada que no haya ocurrido doscientas veces a otras empresas, por lo que si no se han preparado para ello es negligencia por su parte.
#45 Por lo general se pasan las políticas de grupo por el forro y las directivas son accesibilidad de datos > seguridad. Pero desde siempre. Y luego pasa esto, claro.
Que no hablamos de un banco, es una emisora, cojona.
#45 bla bla bla y usando windows es como dejar abierta la puerta de tu casa. Lo que dice el chaval de arriba es lo más sensato en entornos serios y profesionales: plataformas híbridas. Pensar que usando el windows que regalan en la cajita de cereales, es pensar como usuario nivel office
#51 Estos aún estaban en usuario nivel "mi abuela la del pueblo".
#45 No jodas, todo eso cuesta pasta, mejor lo subcontratados con una mierda de cárnica del político de turno que nos da contratos, y con lo que ahorramos contratamos a 10 directivos inútiles más.
#23 #43 En todo caso, suponiendo que "algo" tendrían con Linux, y se habrán dado cuenta que por ese lado no les ha afectado, podría ser una buena oportunidad para que probaran a intentar migrar todo lo posible desde Windows a GNU/Linux. Entendiendo por esto, la compatibilidad de programas, etc. Pero bueno, siempre es mejor habituarse a un programa alternativo o con menos funciones que no tener nada como ahora.

Que vamos, no tengo ni idea de qué tipo de software se usa en la…   » ver todo el comentario
#23 Aunque tengas un servidor GNU/Linux con Samba, si un cliente Windows se ve afectado por el ransomware, imagino que se cifran las carpetas compartidas igualmente.
#40 depende de si las unidades remotas están montadas en los clientes y de los permisos de escritura. También del propio ransomware, de que rutas esté configurado para cifrar.
#40 Depende de los permisos.
Pero han pagao o no?
#2 Parece que si. En la cuenta de cobro de Ryuk hay transacciones "gordas". Y parece que Everis tambien (dicho por una amiga de Everis).
#2 Todas pagan. Igual solo por un par de servidores sueltos que nadie se acordó de configurar el backup, pero todas las empresas afectadas por estos ataques acaban pagando algo.
¿Qué es Everis?
¿Radio muy ochentera? ¡Como Kiss FM!
¿Radio muy ochentera? ¡Como Kiss FM!
¿Radio muy ochentera? ¡Como Kiss FM!
Supongo que Vodafone tiene algo que ver con lo ocurrido en la SER...  media
...nadie se ocurrio utilizar unos "linux live" con libreoffice y vlc??????
No se, es por se constructivo
Me pregunto (porque es lo que usan en una gran empresa pública del sector sanitario, dónde trabajo) si programas Endpoint como el de Symantec pueden parar este tipo de ataques.
#20 lo que hacen estos grupos es desactivar el antivirus de turno antes de desplegar el ransomware.
El problema es Internet.  media
Formatear ordenadores y volver a nacer con los backups que tengan sanos
#12 Yo creo que el problema es saber cual de las copias de seguridad esta limpias (eso contando que tenga esas copias y hasta cuando tienes que funcionen...9
#12 ¿De verdad crees que estos inútiles hacían copias de seguridad?
#15 ¿lo sabes tú realmente?
#15 Se lo hacen remotamente via NAS en modo r/o. Aunque vamos a ver, todo lo audiovisual tiene gigas diarios al grabar muchas veces en RAW. En radio hablamos de gigas diarios, en TV ya es inmanejable. Ya lo era antes cuando emitian en PAL pero sin comprimir (~1 GB por 7-8 minutos de mision, haced cuentas, 1h capturando TV en el PC me ocupaba trece gigas en YUV), imaginad ahora.

Suerte que es una emisora de radio y no estudios de TV, aunque sea una TV local.
#78 si es lo que parece por los pantallazos que se han filtrado podría ser 4096-bit RSA + 256-bit AES. Buena suerte...
#82 Da igual si es RSA+AES, o si es un chorizaco sacado del /dev/urandom ya que de entrada está descargado el tirar de john o hashcat para la key. En cambio, si sacas (func. local) el algoritmo de generación de la key que es precisamente el eslabón mas débil, por muy mucho que haya que desempaquetar el binario y después "desenrollar" un par de layers de cifrado del .data hasta dar con los bytes que se ejecutan realmente jeje.

Supongo, porque asumo que el bicho no conecta con Inet…   » ver todo el comentario
El confidencial no es el periodico cloaquero que decía que hoy tsunamidemocratic no dejaría a la gente ir a votar?
Que paguen a alguien que tire de radare2 y extraiga la key de una muestra :-P
#53 lo más probable es que la clave no esté en el binario
#77 cifra con una key simétrica o usando PKI? Si usa una key publica o una simétrica obtenidas desde el "exterior" => DNS sinkhole (o similar) y problema arreglado; supongo que generará una key internamente por host infectado (simétrica o no), así que lo que tendrían que hacer es soltar billete para que alguien les saque el algoritmo, aunque seguramente el "bicho" será una modificación de otro "bicho" aparecido anteriormente, por lo que los analistas de AV (o incluso los servicios web de análisis) serían capaces de identificarlo desempaquetando los layers del binario en runtime sin demasiados problemas.

menéame