.
Ufffff 2 semanas antes. Que putada. Ahora donde compro para no ser tonto?
(Venga, que la he puesto a huevo)
Con respecto a la información comprometida, la mayoría de los casos del ramsonware solo encriptan ficheros, no roban información, muchas veces ni saben a quién va dirigido el ataque (no digo que este sea el caso por el tema del BF). También es cierto que hay casos (menos) que amenazan con publicar la información si no se paga el rescate, pero lo que se dice en #1. Pagar no te asegura que te lo vayan a desencriptar
#4 Vete a saber,a la única persona que conozco que le hicieran la trama comprando por internet fue en Media Markt, que pillo una tele y le desvalijaron dinero de la cuenta, no mediamarkt sino alguien que se dedicaba a estas mierdas.
Trabajo en retail para una empresa muuuuuuy grande y tenemos procedimientos para poder seguir operando en caso de que los sistemas se vean comprometidos de alguna manera (caida, ataque, etc) sin tener que usar papel y lapiz... Las cajas y sistemas POS pueden seguir operando sin conexion con el back-end y este tiene replicacion con latencia predeterminada o en tiempo real entre varios data centers por si se te cae el principal poder levantar el secundario y seguir operando. A las muy muy malas en las que todo esta en la mas absoluta mierda las tiendas pueden seguir funcionando aunque no se actualice el stock ni la informacion de sistemas externos de reporting por dar un ejemplo.
Luego esta el tema de Ecom que tiene mecanismos similares, hace dos a;os tuvimos un problema y la web estuvo caida durante Black Friday por un problema de dimensionamiento y un cambio de ultima hora y desde entonces Ecom empieza el blackout de cambios casi mes y medio antes del Black Friday para evitar problemas. Y tres cuartos de lo mismo en caso de caida, ataque, etc. esta todo replicado en infrastructuras completamente diferentes para evitar caidas que impacten a negocio de esta manera.
MediaMark tiene un servicio de reparación de ordenadores y virus. Fijo que solucionan el problema en un par de horas
Que digo yo, tendrán un backup que con cargar les valdrá. Lo malo es que perderán los datos más recientes
#8 but spain is very different
Yo trabajo en bases de datos en una compañía que da servicios de cloud y housing, y ya son varias empresas que se han venido a nosotros de un ataque de ransomware. Y todas, todas, todas paralizadas.
La más reciente una empresa de logística que tuvo paralizada a toda su flota en Europa por una semana hasta que logramos rescatar sus backups y ponerlos en marcha.
Cada minuto lloraban dineros.
#8GaN2:Ecom empieza el blackout de cambios casi mes y medio antes del Black Friday para evitar problemas
Un mes de Change Freeze tengo yo desde el 1 de Noviembre por lo mismo, para que los retailers envien sus SMS y tal sin liarla parda.
Cada día me alegro más de haber dejado de currar de sistemas, no me quiero ni imaginar quienes tengan que relevantar todo, ni los horarios que van a tener.
#8 si te tumban los TPVs poco puedes hacer.
Te encripto un dominio entero de 10.000 equipos en una tarde.
, espero que llegue mañana...
#14 Cuando trabajaba en España tuvimos una situacion parecida con una de las mayores editoriales de libros española y les encriptaron hasta los backups. Sudaron sangre para poder recuperar la normalidad y cuando terminaron el presupuesto de IT y InfoSec fue exactamente el mismo que antes del ataque ergo el jefazo de arriba dijo que no se daba mas dinero para prevenir situaciones similares en el futuro. Y desgraciadamente esto pasa en España y fuera, recomiendo leer el caso Maerks para el que no lo conozca porque es curioso.
#15 En nuestro caso durante el freeze seguimos haciendo cambios pero tienen que venir firmados por VPs o dependiendo de la aplicacion por el CEO.
#16 Si te tumban todos los TPVs de todas las tiendas es que no deberias de estar currando en IT. Entiendo que te tumben los TPVs de una tienda o una zona geografica pero todos los de la empresa no. Y sobre horarios, ya te digo que van a estar 24x7 sin ver la familia por una temporada...
#18 si están en dominio, te digo que te lo crujo enterito, fliparias lo que se puede hacer con winrm y powershell. Obviando sccm/gpos/etc.
Sumado al propio bitlocker, vamos, xD no arrancas ningún equipo sin comprar las claves de desencriptacion.
Y a lo de "no deberías de estar currando en it", empresas grandes, que conoces con servers productivos con win2k3 o RDP nateado en la ip pública con 2k12. El sector de IT es muy precario y por eso lo dejé.
Ojo con los hackers que a poco que se equivoque ponen mejores precios que los que suele poner mediamark.
#18 aquí los hotfixes medio los apruebo yo, pero vaya, que o arreglan algo o se esperan a diciembre y...con pinzas que viene navidad XD
De hecho, joder, nunca nos ha pasado nada pero tmb doblamos la capacidad del server de sql y disminuimos el periodo entre scripts de migracion de una db a otra "for if the flies" y somos una empresilla de mierda xD
#18
Si para mi que sé lo básico de todo fue una experiencia ver como tenían todo el sistema en Worten no quiero imaginarme lo que puede ser para vosotros. Os diría que lo probaseis si estáis dudando en pegarle un palo gordo de manera sencilla Xd
Tremenda mierda que era el retek
#18 Como te encripten los backups te han jodido de lleno. En los sistemas que yo trabajo hacemos backups y luego backup cíclico que va a una nube y otro más que va a un HD externo y extraíble que solo se accede por otro ordenador.
Ya nos han hackeado alguna vez encriptado absolutamente todo. Y lo máximo que hemos perdido ha sido una semana, y es un infierno... Sin backups te puedes marcar una quiebra.
En la noticia que leo desde bleeping habla solo de NL y DE afectados: https://www.bleepingcomputer.com/news/security/electronics-retail-giant-mediamarkt-hit-by-ransomware-attack/
Alguien de mediavida que trabaje en algún mediamarkt puede confirmar?
a "solo" dos semanas?
solo hay que seguir el 321 y estas salvado, eso si el 1 mas vale que sea realmente fiable
#19 Se lo que puedes hacer con winrm y powershell si tienes credenciales de administrator en dominio pero me estas dando a entender que puedes llegar hasta la cocina. En nuestro caso por ejemplo las cuentas de administrador son independientes de las cuentas normales, no puedo hacer a nivel de Linux un sudo por ejemplo con mi cuenta normal o cambiar absolutamente nada a nivel de dominio desde Windows. Si quiero hacer un cambio en produccion tengo que usar una cuenta particular que se encuentra en un gestor de contrase;a que rota la password cada 2 horas, que requiere un MFA con un token que se crea en mi movil y todo bien auditado/controlado. Ahora por ejemplo hemos estado con el hardening de los Linux y los comandos a los que tengo acceso via sudo con mi usuario estan contadisimos, para el resto cuenta administrador que tienen 4 gatos contado y sin opcion a root salvo que lo pidas, firmes 1239018093 papeles y te lo apruebe el CAB.
Sobre los win2k3 o serves productivos con versiones antiguas, nosotros seguimos politica de 'si respira se parchea'. Cualquier servidor que este vivo se parchea cada quatrimestre (o vulnerabilidad critica por encima de una determinada nota CVS) y tienen que estar al menos en la ultima version soportada. Si no hay que pedir una excepcion firmada por el VP de turno con un plan con fechas concretas para remediarlo. Ya sea un productivo o un sandbox, da lo mismo.
Y si, estoy de acuerdo que el sector IT en Espa;a es muy precario porque se sigue la ley del BBB.
#23 Duct taping. Todo cogido por cintas y funcionando sin que nadie sepa como...
#24 Pero para ello hay mecanismos para evitar ese problema. Ya no hablo de sacar el backup a HD externo a base de cintas que vaya rotando, tambien se puede usar replicacion con activo/pasivo y meterle un delay de X horas para poder desconectar a tiempo antes de que la replica replique el dato corrupto o encriptado. En el caso que comento en #18 tuvo ese problema, por encriptarles les encriptaron los backups y la herramienta de backup y llevaban sin sacar el backup a almacenamiento externo ni se sabe cuanto...
Y ya no te digo que pierdas una semana de datos, hay empresas/sectores en los que la perdida de minutos es un marron de tres pares de cojones por legislacion/negocio.
#28 muy bonito todo. Luego te roban un ticket de kerberos gold con 2 clicks y a partir de ahí se meten hasta la cocina.
#29 Pero un ataque asi no es facil e implica que ya tienes comprometido al menos acceso la red interna y una cuenta de administrador. Tambien hay maneras de limitar ese ataque para evitar que tengan acceso a la BBD del AD y al password de KRBTGT.
