Nuevo ataque tipo Ransomware a varias empresas.

B

Pues supongo que muchos lo estareis leyendo, yo me he enterado porque en mi empresa hay gente de Everis y viendo Meneame, hay dos noticias en portada.

Un ciberataque con ransomware deja KO los sistemas de la Cadena SER y de Everis

Aun no tengo información para saber como se ha producido el ataque, entiendo que alguien desde su pc accede a un correo que lleva regalo y listo.

En 2017 esto ya sucedio, recordareis, el motivo de que en ese caso se extendiera por las redes de las empresas, era por la falta de instalacion de un simple parche de Windows. El virus secuestraba los discos locales y las unidades de red a las que tuviera acceso, pero a traves de una vulnerabilidad podia propagarse por la red local e infectar al resto de PCs.

Esto, se habria evitado con una simple politica de instalacion de parches del SO.

Ahora, me asalta la duda de como se ha podido propagar, entiendo que a traves de una vulnerabilidad igualmente, espero detalles jugosos como agua de mayo.

Comentemos esta animada noticia :)

squ4r3

Pues hombre, viendo el nivel de los PCs que manejan en esas empresas es habitual que haya máquinas descontroladas con winxp o fuera de las manos de los admin que llevan sin pushear actualizaciones durante años

1 respuesta
BeTiS

A cada cerdo le llega su San Martín

elfito

He leído que también ha llegado a Accenture

1 respuesta
SikorZ

#2 Qué hablas, si cada semana actualizan las maquetas xd... En todo caso sera en empresas pequeñas/medianas lo que dices..

#4 No hay comunicación oficial, están tirando servidores de conectividad de clientes privados por si las moscas

1 respuesta
B

Así es Ryuk, el ransomware que estaría bloqueando ordenadores en Europa

toyakens

#5 aunque te cueste creerlo, siguen habiendo cajeros con WinXp, servidores con Win2003...yo he llegado a recibir incidencias de un banco español (me ahorro su nombre) con PCs con disquetera.

Muchas empresas, especialmente multinacionales, tienen externalizsdos sus servicios de seguridad a la India, donde el indio de turno lleva tu entorno más otros 15, y el cual no tiene ni puta idea de que va la vaina. Cada vez que entra un marrón se te caerían los huevos de cómo de desactualizados y con configuraciones loquisimas están.

2 respuestas
frtzk

Trabajo para experis y tengo compañeros de everis, les han comentado que borren todo y "corten" cualquier conexión con intranets.
También nos han comentado que la cadena ser, ING, accenture y no se si hay alguna mas...

1 respuesta
legent

#8 En el entorno donde curro todo proyecto o subida a producción de everis lo han parado. Es una liada bastante gorda.

SikorZ

#7 Si, eso si, yo digo los pcs de los trabajadores, no me referia a eso xD

d4n1p3

Preparaos que llegan las noticias con señores con la capucha puesta!

garlor

a ver si sale informacion de que vulnerabilidad han usado esta vez, si es un 0day ( que lo dudo ) o simplemente equipos no parcheados como paso con el wannacry

voy a decir lo mismo que en otro foro, quiza seas el mismo usuario

hay ransomware suelto todos los dias, que tu te hayas enterado ahora de unos casos concretos no implica que ahora su afectacion sea mayor, simplemente que hasta ahora tu no tenias conocimiento del tema

si haceis ahora las copias de seguridad habeis estado todo este tiempo desprotegidos y volvereis a estarlo en unos dias

Culebrazo

#7 yo no me voy a callar xD

Hasta hace poco mas de 2 años trabajaba para bbva y habia una aplicacion que la instalabamos de un disquette que sacaba el usuario de la cajonera. De hecho cambiamos los pcs del departamento, y hubo que rescatar una disquetera de un pc viejo y ponersela al nuevo que obviamente no traia

Es el coño de la bernarda. Por un lado te dicen que unica y exclusivamente se puede instalar lo que hay en el repositorio, por otro viene un jefecillo de departamento random llorando y se manda todo a tomar por culo porque "tu no sabes quien ha pedido esto"

La cantidad de bizarradas que vi en casi 9 años pone los pelos de punta... A una usuaria le trajeron su pc de madrid y su usuario tenia permisos de administrador vete tu a saber porque. Hasta el utorrent tenia instalado la tiparraca xD y la tia defendia su pc y sus permisos como una loba

2 1 respuesta
legent

#13

#13Culebrazo:

su usuario tenia permisos de administrado

Digan lo que digan los de sistemas, tener todos los pc's capados para evitar instalaciones es un coñazo y más cuando estas trabajando con clientes que cada cierto tiempo te piden productos donde necesitas instalar una cierta aplicación.

El principal problema viene cuando se hace mal uso de estos usuarios con admin. Por supuesto nunca se me pasaría instalar ningún software que no fuera para trabajar, pero ya he visto compañeros con el whatsapp de escritorio, spoty etc.

2 respuestas
mongui

#14 Lo mas optimo que veo es usar la estación como maquina de trabajo y virtualizarte algo con unas specs ínfimas para ejecutar esas apps, yo es lo que hago, te sandboxeas las apps en una VM y pista

2 respuestas
legent

#15 Nosotros para conectarnos a todo lo relacionado con el entorno del cliente (banco) lo hacemos vía Citrix (una plataforma que te virtualiza un escritorio remoto ). Pero vamos, hay alguna cosa que si que haces en local.

1 respuesta
mongui

#16 Si, se que es Citrix, he desplegado bastantes. Nuestro proyecto en concreto tiene toda la salida a internet cortada a nivel fisico, asi se aseguran que no sufren problemas de ese tipo

garlor

#15 eso tambien es un problema puesto que ejecutas programas no controlados que tienen acceso a la red interna ( recordemos que se ha hablado de spotify y este requiere red )
por ejemplo en el caso del wannacry una maquina virtual infecada podia infectar al resto de la empresa igual que una maquina fisica, de hecho hay muy pocos casos donde esto no sea asi con una maquina virtual

1 respuesta
mongui

#18 Yo controlo en todo momento lo que conecta y lo que no, a nivel de VM y a nivel de host, si las apps se quisieran conectar a algun recurso interno, lo sabría

1 respuesta
garlor

#19 tu todo lo que quieras, pero como politica de empresa si quieres seguridad eso no se puede permitir

1 respuesta
B

#14 un coñazo lo de los permisos, si, pero yo x ejemplo he trabajado con gente que cree que le ha tocado un Audi por ser el visitante un millón de una web, que tiene una jugosa herencia esperándole en Nigeria o que el amor de su vida es una modelo rusa que en realidad se llama Vladimir. Esa gente no puede administrar un equipo.

2
icetor

cyberark es la auténtica salud.

o bueno quizás no...

mongui

#20 Partiendo de la base de que uso un mac y no un pc corporativo, denota que no cumplo con la politica de la empresa pero en mi primera entrevista pregunte, puedo usar mi propia laptop? Si, no hay problema me dijeron. Pues hasta el dia de hoy es lo que sigo haciendo y 0 problemas

2 respuestas
HeXaN

#23 Es un error usar tu propio portátil para tu trabajo. Si es una empresa medio seria, claro.

1 1 respuesta
mongui

#24 Motivos? No es mi pc personal, me lo compre estrictamente para trabajar, no veo donde esta el problema

2 respuestas
HeXaN

#25 Entonces es un "PC corporativo" aunque lo hayas comprado tú.

Pero bueno, yo es que no uso nada que no haya sido dado por la empresa y revisado por el departamento de seguridad.

Más que nada por cubrirme la espaldas porque luego pasan cosas y al primero que señalan es a mí.

AikonCWD

yo también señalaría al Pato si ocurre algún problema en la empresa.

4
B

La ausencia de noticias sobre el tema es curiosa. Aun no sabemos como fueron infectados, si por la ausencia del parcheo necesario u otro motivo.

1 respuesta
garlor

#23 estoy convencido que las empresas que ahora estan con ransomware hasta ahora 0 problemas tambien
#28 ya han dicho que el malware es Ryuk, busca informacion sobre el y sabras el metodo de infeccion

1 respuesta
AikonCWD

#29 Parece ser que es BitPaymer. Lo que deja a Everis en un peor lugar: RDPs publicados en internet y servidores sin parchear desde hace meses.

Pandilla de cutres.

1 respuesta