Posible cyber ataque a las principales empresas españolas

Aeron

Por lo visto el ramsonware tenia un killswitch en forma de dominio, si este existía no se propagaba mas... un tío lo descubrió en el código y lo registro parando así la mayor parte de infección a EEUU

https://twitter.com/MalwareTechBlog

1 1 respuesta
Soltrac

He leído por ahí que no te puede entrar un virus solo con un archivo pdf o docx. No hace tanto hubo una vulnerabilidad en lectores pdf. Y de verdad pensáis que todo el mundo actualiza a la última versión de sus lectores??

Sí pueden entrar virus así, no tienen q ser exe exclusivamente

1
T

Y yo que me alegro que pase esto, así los altos cargos aprenderán a que no se pueden pasar por el arco del triunfo la educación básica en seguridad informática , cojones, que vivimos en la era digital y hay gent como dicen aquí arriba que currando en una empresa importante solo saben usar el word y navegar en RRSS y si a eso le sumas el tacañeo de tener los sistemas del año de la polka pues...

U

#636 ¿Sabes que hay programas contables? ¿Para tramitación?.... a parte del Excel,¿ qué se usan para trabajar?
Joder, que endiosados tiene la gente a los informáticos XD

hamai

#687 Cuéntanos mas pls, que es bastante interesante.

5 1 respuesta
Nerviosillo

#685 Acabas de recordarme a cuando mi padre se pensaba que tenía idea de algo, se bajaba mierdas de Softonic y luego tenía como 10 toolbars diferentes en el navegador xD

1 1 respuesta
Sphere

#696 La época softonic fue desastrosa. De chico me fui dando cuenta de que era un nido de virus y basura random cuando decían que la descarga desde la web del fabricante fallaba para que te descargaras en su lugar el instalador molón que te llenaba de mierda el PC.

Un día me dio por comprobar la web de uno de los fabricantes y vi que estaba bien y podía descargarme el programa perfectamente, y ahí me di cuenta de que softonic se valía del engaño para meter adware a saco.

1
Alahel

Lo de actualizar en empresas de esa envergadura, es un poco de locos. No han sido pocas veces que tienes que restaurar el SO por los aplicativos que tienes que trabajar y fallan tras actualizar.

De todos modos aquí el currele está sobre los backups.

Ah y lo que dice la prensa, tampoco es para tanto xD, ha cundido mucho el pánico y muchas empresas por precaución han parado cierta actividad. Eso sí para las empresas que se lo han comido de lleno como #687 paz para él, cuando hay incidentes de este palo deseas no haber nacido.

Aegar

#687 Cuenta más maldito pato alcohólico.

1 respuesta
Saphyel

#687 pues xemita alonso ha escrito otra cosa, o tu empresa tiene otro problema... http://www.elladodelmal.com/2017/05/el-ataque-del-ransomware-wannacry.html

3 respuestas
B

#700 osea que han entrado por lo tipico, la puerta mas insegura de todo pc, el usuario.

1 respuesta
Saphyel

#701 si, basicamente las empresas (timofonica y cia) no quieren invetir en parchear sus sistemas (es lo que tiene vivir en la edad media aun)
El virus se ve que vino de un email de algun tolay de dentro y luego por la intranet fue exapndiendose

Y como dato curioso menciona que solo han pagado 8 personas en todo el mundo y una cantidad total de 6k$ aprox

2
aimettijosh

Supongo que esto se puede considerar un resumen
http://blog.talosintelligence.com/2017/05/wannacry.html?utm_source=dlvr.it&utm_medium=twitter&utm_campaign=Feed%3A+feedburner%2FTalos+%28Talos+Blog%29
https://twitter.com/MalwareTechBlog?s=09
He leido que esta noche han paralizado la producción en fábricas de renault

Link34

#700 Este tío no es precisamente una eminencia en su terreno y lleva tirando balones fuera y diciendo que no es para tanto desde ayer

Que no os engañe su imagen, es un corbata

1 1 respuesta
aimettijosh

Entras al dominio y te aparece este mensaje
sinkhole.tech - where the bots party hard and the researchers harder.
:ninjaedit:

Saphyel

#704 Yo no trabajo en timofonica, no soy experto en seguridad y solo se que lleva gorra el xemita.
Cuanto de cierto es lo que dice? ni idea. Que ha pasado realmente? ni idea
El trabaja ahi y ha comentado eso en un post y eso es todo lo que se xD (hice un resumen por si la gente no quiere leer su post, que tampoco pone gran cosa)

aimettijosh

El resumen imparcial sería el que he puesto yo, el se lava las manos y dice que no ha sido para tanto, que el es el puto amo y bla bla bla y que telefonica es super segura y blablabla

serzenit

Llego al bar de Rosaura refugiándome de la lluvia, me sirve mi café de siempre.

Miro mi ordenador portátil personal de bolsillo mientras le doy caladas a mi cigarro electrónico, consulto las noticias en tiempo real del mundo entero. Parece que ha habido un ciberataque masivo a escala global, los atacantes encriptan los datos de los terminales usando un virus que se extiende automáticamente por la red informática mundial, piden un rescate en una criptomoneda imposible de rastrear.

Me pregunto si hoy tendré que acudir a la multinacional a la cual entrego horas de mi vida cada día, con un poco de suerte el terminal informático que tengo asignado para trabajar con datos de un servidor de Alaska se ha visto afectado. Con un poco de suerte me mandarán para casa, me conectaré a un juego multijugador masivo en línea y pasaré las siguientes horas jugando con personas de países del este.

Antes de dormir consultaré una biblioteca online videográfica de mujeres desnudas.

11 1 respuesta
aimettijosh

#708 pero el cigarrillo electrónico te funcionaba? No estaba jakeado y te ha cambiado el sabor?

En los comentarios del blog de Chema le están metiendo mucha caña los que no son los lameculos, algunos comentarios ya han sido borrados pero otros se conoce que le han pillado dormido XD

aimettijosh

Algunos expertos en seguridad comentan que esto ha podido ser para practicar. No dejas un link hardcodeado ahí metido sabiendo que en horas te van a aplicar ingeniería inversa y te van a registrar el dominio y listo, eso es demasiado easy no? Yo vuelvo a decir que ese malware llevaba meses sleeping en los ordenadores y que ayer quizá encripto pero algo más ha hecho, lo de los bitcoins es secundario

2
Quijote3000

Ataque a escala global. Y simplemente parece un grupo privado. A saber que pueden hacer los gobiernos de países

B

Que gusto que roben bases de datos como si nada y a la gente ni le importe donde acaba su información.
Related:
https://www.nytimes.com/2017/05/12/world/europe/uk-national-health-service-cyberattack.html?_r=1

Una herramienta de la NSA, pero NO ES LA NSA, que conste!

1 2 respuestas
ZelD4

Yo trabajo para Henkel y existen miles de servidores con so desfasado, ya no hablemos de software, incluso en fábricas productivas super críticas

Hasta donde yo se ha migrado todo a Orange, pero tengo pánico de lo que me pueda encontrar el Lunes. A parte de que estoy más que convencido que las copias en cinta no se están haciendo bien desde hace años, pero como si soplara viento

1
NickNack

#712 La NSA ya se canso de jugar con su juguetito, seguro que ahora están jugando con otro :D

GaN2

Si bien es cierto que los medios de comunicación le han dado mucho bombo y que la actitud de ciertos medios ha sido lamentable (especialmente el caso de El Mundo con Chema) de lo que diga Chema te tienes que creer la mitad de la mitad de la mitad. Entre otras cosas porque nadie va a reconocer que le han entrado hasta la cocina y que ha visto la seguridad de sus equipos comprometida, o porque hay muchísimos intereses en que este tipo de cosas no se sepa.

He leido la entrada del colega en su Blog y según dice no ha sido para tanto y solo ha afectado a unos equipos. Aquí habría que distinguir entre 2 tipos de pérdidas:

  • Pérdida por parada de la producción. El enviar un correo a todos tus empleados y personal externo diciendo que "apaguen ya el equipo" me parece lo suficientemente grave para haberse ahorrado escribir esa entrada en su blog. Según él es un mecanismo normal dentro de una empresa de ese tamaño e importancia, ya te digo yo que no es normal lo que ha pasado ayer. Me tocó vivirlo en primera persona en uno de nuestros clientes y lo que pasó fue rollo castillo de la Edad Media, todo el mundo desenganchando VPNs y comunicación entre empresas, parando file servers y sistemas que pudieran estar afectados, enviando a todo el mundo a casa, filtrando como spam los correos que venían de Telefónica, etc. Dificil cuantificar la pérdida del día de ayer pero ya te digo que va a ser de millones de euros.

  • Pérdida por cifrado de equipos. En este caso ese dato solo lo conocen las empresas afectadas, el resto del mundo puede hacer conjeturas. Según comenta no ha habido muchos equipos afectados porque el pago a la billetera de bitcoins es bajo. En fin, antes ponía algún compañero una foto de otra de las billeteras y era bastante más grande. Además, no puedes evaluar el impacto de este tipo de virus en función de los pagos que se han hecho para desencriptar los archivos, no se como tiene los santos huevos de decir tal afirmación...

Sobre la actualización de Windows, ayer hablando con uno de mis compañeros me comentaba que dicha actualización no estaba dentro de la lista de actualizaciones automáticas a pesar de ser crítica y estar disponible desde Marzo. ¿Alguno sabe algo de esto?

NickNack

Por si alguien tiene curiosidad, aquí podeis encontrar los exploits filtrados de la NSA que se utilizan para infectar con WannaCrypt0r.

https://github.com/misterch0c/shadowbroker/

Perurena

#691 alguien que puede explicar mejor esto? No he entendido porque a USA le ha afectado menos.

1 respuesta
GaN2

#717 El bicho en cuestión hacia una llamada HTTP con un GET a un dominio antes de infectar el equipo. Si el dominio no existía entonces infectaba el equipo, si el dominio existía no lo infectaba. El colega en cuestión analiza el código, se da cuenta de que está la consulta al dominio y decide registrar el dominio para ver que pasa. Se activa el kill switch del bicho y deja de infectar equipos de manera temporal hasta que al colgado que ha liberado el bicho u otra persona le de por modificar el código y quite el kill switch.

Teniendo en cuenta la hora a la que se descrubrió esto ha afectado menos a USA por tema de horario y comienzo de trabajo.

1 1 respuesta
NickNack

El WennaCrypt0r tiene hardcodeado un killswitch, como un boton de parada de emergencia. En este caso es un dominio en plan dsadsahidgyd78qwfu890qcw.com que no estaba registrado, hacia peticiones y si no contestaba seguia. Al registrarlo, el servidor contesta y el ransomware no se ejecuta.

No ha afectado tanto por que esto paso de noche alli, por lo que cuando se levantaron a currar la propagacion estaba detenida.

1 respuesta
Perurena

#718 #719 Entendido, muchas gracias! Entiendo entonces que ha sido el mismo bicho para todo el mundo? O había bicho con diferentes killswitchs?

1 respuesta