El problema de estos ataques es que normalmente no dispones de tiempo para investigar qué ha pasado y por donde ha entrado, ya que te centras en restaurar. Y tras restaurar, se vuelven a colar de nuevo e infectan.
Si no puedes ver por donde entran, te toca formatear todos los equipos y luego restaurar, siendo eso un dolor de cabeza importante.
#43 La gran mayoria de empresas no tienen planes Disaster Recovery o si los tienen no los prueban anualmente. Luego vienen las ostias y corre la gente como monos sin cabeza. El DR hay que probarlo y hacer test en produccion cada cierto tiempo y generalmente ello conlleva impacto en negocio de una u otra manera, por eso muchos directivos no quieren hacer pruebas reales. En cierto banco malo español en el que trabaje se hacian pruebas de DR cada 6 meses con movimiento de todos los sistemas de produccion a la standby, todo documentado y viendo que podia haber fallado. Luego sus pruebas de restore para verificar si eran capaces de restaurar backups y cuando tiempo de caida tenian para volver a operar por completo.
#60SikorZ:y el año que viene te la vuelven a poder hacer. ¿Ahora que haces?
hombre para empezar has estado un año pudiendo trabajar xD
para continuar, si recuperarte cuesta 1 dia y puedes seguir trabajando otro año, pues de mientras volver a crear los servicios, a ver que en un año da tiempo a buscar de donde viene el problema, ponerse en contacto con alguien que te lo busque etc etc
porsupuesto si simplemente recuperas backup y no haces nada mas pues volvera a pasar, pero ganas tiempo para mejor la seguridad, si no lo haces ya es otro asunto
#64garlor:hombre para empezar has estado un año pudiendo trabajar xD
Trabajo que vuelve a ser pisado por el ransonware, es un ciclo que ya nunca acaba
A no ser que encuentren el agujero por donde se han metido, cosa que con sistemas tan grandes es muy complicado... No sé, yo veo bastante jodido salir de estas cosas indemnes, no lo veo tan facil xd
#60 Es que por esa regla de tres no restauras, cerramos la empresa y un placer haberos conocido. Generalmente restauras hasta el ultimo point-in-time que tengas que sea viable sin que haya dato encriptado/corrompido y lo haces de una manera planificada y levantando servicios segun su criticidad para negocio/IT. Mientras tanto intentas cerrar todas las posibles vias de entrada que tengas y se hace un post-mortem de lo que ha pasado y como remediarlo, no te estas un a;o entero sin saber o al menos investigar que ha pasado y dar un plan para remediarlo o minimizar el impacto si vuelve a pasar.
Cuando sale en las noticias 'Fruteria Paco ha mandado un email a sus trabajadores para que no usen sus portatiles ni se conecten a la VPN' es precisamente para intentar tapar todas las posibles vias de entrada y que no se les vuelvan a colar hasta la cocina cuando se pongan a restaurar.
#65 Si la empresa es medianamente competente encontrara la via de entrada o contratara a alguien para que lo haga por ella. Otra cosa es que sigamos la operativa reinante en Españistan que es restaurar y no ha pasado nada.
Yo supongo que tendran sus backups de hace dias o semanas y ya esta, lo raro es que no tengan nada de monitorizaje no? No soy muy entendida pero una base si.
#67 como ya han dicho depende de las copias, cómo están guardadas, dónde y de qué, porque si no están aisladas de esa red es bastante probable que también estén encriptadas o infectadas xD
En caso de que tengan sospechas de que estan infectadas... Es un carajal de la hostia, porque van a ir teniendo que recuperar poco a poco y con todo aisladete... Igual pueden tardar hasta semanas... A ver que se comentan.
Seguro que son hackers?
A ver si han intentado entrar algún trabajador en el sistema para aumentar los precios y así hacer descuentos en el Black Friday, y han bloqueado la contraseña...
Buena auditoria de seguridad deberían de hacer, tiene que ser divertido buscar agujeros en un sistema tan grande
es tan fácil encontrar como colarse que la mayoría de las auditorias de seguridad son automáticas xd
si realmente tienen hasta los backups encriptados, acabarán pagando el rescate porque sale más barato.
Cualquier empresa tocha debería tener esto más que planificado, porque la pregunta no es "me entrará a mi?", sino cuándo.
Y habiendo software como IndexEngines/CyberSense esto debería ser casi obligatorio xd (Dell por ejemplo vende CyberRecovery y la verdad es que si tuviera una empresa tocha ni me lo pensaba)
#71 de hecho la mayor preocupación para muchos será lanzar el Qualsys/Rapid7/Nessus y a solucionar estas "vulnerabilidades", como si ya estuviera todo hecho.
#73Kemyblue:yo creo que siempre hay las offline que permiten evitar la infeccion no?
No es algo que se ponga sólo, eso cuesta dinero de operarios metiendo sacando discos, cuesta dinero de discos físicos (porque quieras que no tienes que guardarlo en algun lado)
No todos los sitios se aplican esas medidas porque no todos pueden pagarlo.
Normalmente esta gente, tmb cuando le pagas el rescate, son tan amables de decirte tu vulnerabilidad xD
#73 yo te digo lo que hacen, ya sé que eso incita a cometer más, pero te aseguro que más de una empresa ha pagado.
las copias offline suelen ser Tapes de varios teras.
#76 yo si hay esos fallos pues ya no digo mas pero hablamos de mediamarkt que supongo tendra tanto informaticos internos como servicios externos.
#76 las offline se guardan durante mucho tiempo.
Para hacerte una idea, hay bancos, empresas de seguros y tal que guardan las copias 50 años.
#78 si, claro, para recuperar informacion de las mismas, no para restaurar los sistemas hackeados
entiendes la diferencia entre la copia de seguridad de una base de datos y la copia de seguridad de la maquina virtual que hace explotacion de esa base de datos?
#79 Dependiendo de aplicacion/producto podrias ser capaz de restaurar el sistema siempre y cuando tengas backup de la BBDD. Por poner un ejemplo que a lo que me dedico, la gran mayoria de productos de SAP se pueden restaurar teniendo solo la BBDD dado que los binarios los puedes descargar e instalar de cero. Ya nos ha pasado de perder una maquina donde no habia backup de ficheros y hemos levantado el sistema en unas horas con el backupd e BBDD.
Y sobre restaurar VMs, configuraciones de SSOO, etc. Hoy en dia con Infrastructure as Code deberiamos de ser capaces de recuperar infraestructura sin depender de backups siempre y cuando tengas el codigo en su repositorio correspondiente, acceso a los binarios de instalacion y el backup correspondiente de la BBDD de la aplicacion. Para aplicaciones custom lo puedo entender pero para off the shelf no.
Así funciona Hive, el Ramsonware con el que supuestamente se han infectado, vaya flipe.
https://www.netskope.com/blog/hive-ransomware-actively-targeting-hospitals
#80 yo en mi curro estoy empezando a usar puppet y si, si lo tienes montado asi pos vale, pero tu mismo lo has dicho,
#80GaN2:hemos levantado el sistema en unas horas con el backupd e BBDD
ahora imaginate que tienes que levantar TODO, porque claro te lo han encriptado todo, el problema es que tienes que hacerlo todo a la vez, cosa a la que simple y llanamente no llega el equipo de informaticos que lleve habitualmente la empresa, porque no esta dimensionado para eso, y traer gente de fuera a ayudar es inviable, porque tardas mas en explicar que en hacerlo tu propio equipo
hay que entender que muchas veces no es que no sea posible recuperarse, es que no se puede hacer YA
#84 es que nunca se va a levantar todo a la vez.
Se va a levantar todo poco a poco verificando que las cosas funcionen y levanten bien
#84 Como te dice #85 generalmente se levantan sistema poco a poco. En estos casos cualquier empresa serie tiene un plan de accion sobre como actuar, que levantar primero y los posibles riesgos de que X sistema este parado horas, dias o meses. Se empieza por infraestructura basica como hipervisor, herramientas de restore, etc. y luego en funcion de criticidad y dependencias se levanta aplicacion A o aplicacion B.
Que se tarda tiempo? Esta claro, puedes tardar hasta meses en restaurar absolutamente. Y en casos como este casi siempre se suele traer gente de fuera de manera temporal, ya sea para ayudar a investigar por donde se han colado y como remediarlo o para ayudar a restaurar el servicio.
Sabéis quien se ha comido otro ransomware?
https://www.eldiario.es/tecnologia/ciberataque-paraliza-produccion-cerveza-damm_1_8481414.html
