La Ser, Everis y otras empresas bloqueadas por ransomware

B

#689 un server de mierda de 2009 tiene mas seguridad que everis xddddddddd

1 respuesta
B

#686 Instalale el WMF5.1 a ver si con estas, ahora tengo curiosidad porque tengo unos cuantos 2008 con WMF5.1 , o (x86) y .net4.8

CaNaRy_r00lz

#689 Si eso ya lo tenia claro como paso, pero me hizo gracia que no te funciona pk faltan librerias al estar tan desactualizado xD

AikonCWD

#691 no joder xddd, pero al tenerlo desactualizado es normal que las herramientas modernas (basadas en powershell y phyton normalmente) tengan efecto nulo en un server antiguo xd.

#690 imagino que han pagado el ransom y ya estarán desencriptando, no?

1 respuesta
B

#694 Yo he visto una empresa que por no pagar el ransom, 12 técnicos de sistemas 16h al día formateando equipos y metiéndolos en un nuevo dominio recién creado. (>150 equipos), TODO recién creado.

1 2 respuestas
Huk

dejo esto:

y sigo mi camino

B

#695 a mi o me pagas esas 7 horas extras al día o me despides una de dos.

Lo suyo es que calculen y el precio de pagar sea casi igual que lo que le costaría a la empresa arreglar el problema.

Asi se gastan lo mismo pero lo arreglan antes

2 respuestas
Shikoku

#672 que básicamente llevo más de 10 años trabajando con hyperV y estaba flipando xD

Eso sí, soy un "raro" conozco muy poca gente que trabaje en cloud y usen hyperV

3 respuestas
AikonCWD

#695 si tienen backup tampoco lo veo mal del todo, mientras que remuneren bien a los técnicos que se están comiendo ese curro.

Pagar un ransom solo lo veo factible cuando no tienes backups y tu "vida" depende de ello.

#698 A mí me encanta hyperV y lo uso como sistema de backups "tochos"

2 respuestas
B

#697 Pagar un chantaje siempre tiene que ser la ultimísima de las opciones. Imagina que las empresas empiezan a pagar y este tipo de ataques a ser rentables a cualquier nivel.

#698 Yo también llevo un clúster de Hyper-V en mi empresa y todo estupendo :)

Huk

de repente se te cuela en la empresa peña que usa hyperv y no te has dado cuenta

mongui

Bendito botón de ignore, madre mia

2
B

#697 los 12 técnicos eran todos externos y externos de los externos.

No sé el precio, pero alrededor de 50€ la hora, imagino que con acuerdos comerciales sería menos, pero vamos, que barato no fue.

#698 Soy muy fan de HyperV, principalmente porque tengo muchos tructos del MCSA, mis compis que saben mucho de VMWare odian hyperV y dicen que da problemas de rendimiento y blabla.

Una mierda de HyperV es que no hay una forma de pasarle el USB del host a las MV directamente, lo cual suena a mala práctica de la leche, pero es una putada.

#699 SI no está mal, pero tiene peor rendimiento con muchas máuqinas comparadas con VMWare, aunque te reconozco que el sistema de réplicas está super chulo, mover máquinas en calientes gratis y el poder hacer Enter-pssession -vmname sin tener que hacerlo a través de la red es una pasada para scripts de automatización/monitorización.

pero insisto que mis compañeros que más saben de clusters son más fans de VMWare y le tienen mucha mania a HyperV. Yo soy un matao generalista.

2 respuestas
B

#703 Es que ya puestos... si me pongo en el lugar del que toma esa decisión prefiero pagar un 25% mas del importe del rescate en horas a técnicos que me lo dejan nuevecito y funcionando a un rescate que a saber si desencripta o no todo, a saber si dejan alguna mierda para volver a pedir pasta después y teniendo un sistema comprometido al que mas pronto que tarde habrá que meterle mano. La decisión de formatear, nuevo dominio etc. me parece la mas acertada a medio-largo plazo.
Coincido con #699 un rescate es la última opción y si no te queda otra, ya que las garantías son nulas.

2 1 respuesta
CaNaRy_r00lz

#704 Los que mandan no ven a medio/largo plaza, solo ven el para hoy, muchos mandamases hacen cagadas que las esconden hasta que se van y pasan la pelota al siguiente, no se en Esp pero en UK es muy comun el moverte entre empresas y cagadas de esas (no hablo de IT pero supongo que se puede extrapolar igualmente) hay a patadas, de los que estaban antes y dejan cosas que no tienes ni puta idea de como se han hecho y vete tu a cuadrarlo con lo nuevo xD

1 respuesta
B

#705 Entiendo a lo que te refieres pero creo que esto es distinto. Los que mandan no son tontos (no todos xD), son perfectamente capaces de evaluar el riesgo de soltar 1 millón de euros sin ninguna garantía a soltar millón y medio con garantías de que se soluciona.
A ver con que cara se queda el que autoriza el pago de un rescate por 1 millón de euros sin garantía de que se recupere todo y sin garantía de que no se limpia.

1 respuesta
CaNaRy_r00lz

#706 Viendo el desastre que tiene y por lo que he leido aqui como tienen a la gente, lo de extraniar es que supieran y tuvieran dos dedos de frente.

AikonCWD

#703 Exacto.

En mi empresa usamos ESX y VMware para virtualizar los servers.
HyperV lo uso únicamente como sistema alternativo de backups. Lo explico brevemente:

  • Tenemos los datos (documentos, ficheros, etc....) en nube de Sharepoint. Ahí estamos cubiertos de cualquier desastre, borrado accidental o incluso infección ransomware
  • Los datos que no están en nube (aplicaciones, carpetas compartidas de algún programa de gestión, etc...) están cubiertos bajo backup 3-2-1 usando robocopy
  • Y finalmente, para reducir al mínimo el downtime ante una catastrofe: Cada noche ejecuto un disk2vhd que me virtualiza los servidores físicos a VHD. De tal modo que en cualquier momento puedo coger un HyperV vacío, cargar ese VHD y tener el servidor en producción en cuestión de minutos (literalmente) mientras restauramos el server original.
2 respuestas
SpiuK

#708 Espero por tu bien que no superes umbrales de vista en spo y tengas todo separado en librerías como dios manda jaja

1 respuesta
AikonCWD

#709 Tengo demasiados sites, bibliotecas y librerías en spo, muy distribuido. Ni idea de si me acerco al umbral ese que comentas, creo que no. xdddd

Pocos trabajan en online y tiramos con el cliente de OneDrive, que es puro cancer pero ya le hemos pillado el truco.

arkangel2

Como sigue el tema por alli, un pequeño resumen plz.

Seyriuu

oye @aikoncwd tú que estás super puesto en este tema, además de Everis también infectaron a La Ser y a Accenture, ¿No se habla nada de esas dos empresas? ¿no se sabe cómo les han infectado o si han pagado?

3 respuestas
ColdZimeh

#712 Accenture dijeron que no se había infectado

1 1 respuesta
AikonCWD

#712 La Ser han sido infectados, pero es un caso diferente a Everis. Ha sido otro grupo, usando otros métodos (posiblemente Ryuk y BlueKeep). La verdad que no se conocen datos sobre ese ataque ya que la atención ha recaído exclusivamente sobre Everis.

Accenture han dicho que no han sufrido ningún ataque.

edit: estás currando tú ya? todo normal?

1 1 respuesta
Tuskus

Sin acceso a VPNs de clientes sigue la cosa.

1 2 respuestas
Seyriuu

#714 No, me han hecho ir a oficinas de everis para que el cliente no nos vea en sus oficinas sin hacer nada y demos mala imagen.

Aquí tenemos acceso a internet per no funcionan ni las herramientas corporativas ni las herramientas de nuestros clientes (nos han revocado los usuarios por seguridad).

Así que estoy en una sala de reuniones viendo twitter, mediavida, gmail, whatsapp.... y hasta me he visto una pelicula animada de Batman antes.

ahora me voy a ir para casa a la hora de comer, espero que no me pongan pegas...

#713 Creía que salió en las noticias que se infectaron, seria una falsa alarma

1 2 respuestas
B

#715 Es que hasta que canten que es lo que ha pasado exactamente y como lo han solucionado me parece normal que los clientes externos se nieguen a que se conecten de nuevo a la red de Everis.

1 respuesta
AikonCWD

#715 Eso es normal por seguridad... tienen o han tenido un bicho y sería estúpido mantener VPN hacia otras oficinas/clientes.

#712 https://www.bleepingcomputer.com/news/security/windows-bluekeep-rdp-attacks-are-here-infecting-with-miners/

Justo el día 2 (sábado) se detectó una campaña de BlueKeep en internet (usando honeypots), es muy probable que la infección de La Ser haya venido por esta campaña. Lo de Everis ha sucedido el Domingo con un vector de ataque diferente. Son 2 infecciones independientes que han ocurrido el mismo fin de semana.

1
Tuskus

#717 Normal normal, estoy totalmente de acuerdo.

ColdZimeh

#716 Salió, pero digeron ellos mismos seguidamente que no habían recibido ningún tipo de ataque... Quien sabe.

1 respuesta