La Ser, Everis y otras empresas bloqueadas por ransomware

AikonCWD

#750 el código ha de ser ejecutado sí o sí. Pero a muy malas puedes dar acceso a internet a la VM y descargarlo desde ahí

edit: además, cuando bajas un malware desde una sandbox, éste suele venir renombrado con una extensión .vir (o sin extensión) y a veces en zip con password para evitar que lo ejecutes sin querer.

1 respuesta
ColdZimeh

#751 para que el Ransomware funcione no tiene que estar el equipo o la vm conectada a la red también? No sé pegaba contra un servidor para coger la key y demás?

Vuelvo a repetir, soy nulo en este tema.

1 respuesta
AikonCWD

#752 depende del ransomware, pero lo habitual es que no. voy a explicarlo brevemente:

  • Se genera una clave RSA de 4096bits (private.pem)
  • Se extrae la clave publica (public.pem) desde el private.pem
  • El private.pem se lo queda el hacker, jamás sale de su PC ese fichero
  • La clave RSA publica (public.pem) se incrusta dentro del ransomware

Cuando el ransomware es ejecutado el un PC...

  • Se genera un password aleatorio, por ejemplo de 256 carácteres (lo llamamos private.key)
  • Se encripta el private.key usando la llave publica RSA (public.pem) que está dentro del ransomware -> se genera un public.key
  • Se encriptan los ficheros del PC usando AES-256-cbc (para mayor rapidez), se mete una sal para reforzar la encriptación. Para esta encriptación se utiliza el private.key generado en el primer paso de este bloque.
  • Tras terminar de encriptar todo, se borra por completo el private.key del equipo
  • Se deja una nota de rescate.txt mostrando el public.key

Como se desencripta tras pagar?

  • La victima envía el public.key al hacker
  • El hacker es el único que tiene el private.pem, así que es el único que puede desencriptar el public.key y sacar de ahí el private.key
  • Se ofrece un desencriptador que utiliza el private.key para liberar los ficheros de la víctima.

Por eso, a veces ocurre que algunos ransomwares se les puede sacar el private.key de la memoria si todavía no han terminado su encriptación o si no se ha reiniciado el PC. Pero la llave maestra (private.pem) jamás se encuentra a no ser que el propio grupo de hackers libere las keys tras X tiempo.

Edit: si el private.pem estuviese en un server, simplemente debuggando el ransomware y viendo la URL del servidor... se podría recuperar ese fichero y joder al ransomware.

6
CaNaRy_r00lz

En mala hora hice una ingenieria tenia que haberme metido en esto, cosa mas apasionante xD

Elinombrable

#742 Han solicitado un certificado previo indicando (con pruebas) que se habían actualizado las herramientas y cosas necesarias en cada uno de los equipos para prevenir el problema (no voy a dar detalles) antes de dejarnos conectar de nuevo a las redes de cliente y ninguno de mis compañeros ha tenido problemas de carpetas o archivos encriptados. Todo estaba en la nube de microsoft y ahí sigue intacto.

1 1 respuesta
AikonCWD

#755 usáis onedrive + sharepoint en everis? de ser así cualquier fichero infectado lo recuperan desde microsoft enviando un ticket.

2 respuestas
Elinombrable

#756 Sí. Hace ya un tiempo que se migró todo a office 365 con onedrive y sharepoint. Otra cosa es que alguno no haya sido listo y siguiese guardando cosas en local, que seguro que los hay. En nuestro caso ya digo que somos un equipo grande y ninguno ha tenido problemas. Hace tiempo que por norma exigimos que todos los documentos se guarden en sharepoint o en onedrive a todos nuestros compañeros.

2 1 respuesta
Kenderr

A mi me encanta la gente que guarda archivos importantes en local y a la vez te llena unidades compartidas o mierdas como pst de 30 gigas.

3 respuestas
ColdZimeh

#758 porque en el PST tiene un correo de 2001 super importante... xd

AikonCWD

#758 Yo odio a la gente que llena las unidades de red de carpetas con subcarpetas y millones de subcarpetas más. Superando los 256 caracteres en el path y haciendo que las aplicaciones peten al intentar leer o cargar semejantes rutas.

5 2 respuestas
CaNaRy_r00lz

Que es PST? pk power point no es no? xD

#760 Nosotros usamos BIM360 un cloud de Autodesk, pues tuvimos que cambiar nombres de carpetas teniamos por ejemplo 400.20.Civil y quitar los puntos pk estos genios hacian que los puntos ocupasen 3 caracteres y nos petaban las rutas j3 , nos hemos pasado a google drive mil veces mas rapido y sincronica al instante

3 respuestas
B

#761 Las carpetas de almacenamiento personal que genera Outlook cuando agregas cuentas de correo. Una de las cosas más malvadas que ha creado la humanidad.

1 respuesta
ColdZimeh

#760 Eso no sé de que trabajas, pero a mi, me revienta. Luego a darle al robocopy o suerte xd

#761 pst es el archivo de almacén de outlook que guardas en local

1 respuesta
SpiuK

#756 #757 ojo, 14 días y no siempre es posible...Y al hacerlo los cambios posteriores al día de restauración se pierden...

1 1 respuesta
B

#761 pacific standard time

2 respuestas
CaNaRy_r00lz

#762 #763 Ah vale, nostros si guardamos segun que correos, pero no en logan, los arrastramos a la nube y listo, solo se ve un archivo manolito.msg gracias

#765 Al principio lei pts, que es un formato de archivo para point cloud xD

1 respuesta
ColdZimeh

#764 Mejor perder un día de trabajo que un año, no? Digo yo.

#765 que suerte tienes de que estemos en Ot... xddd

1 respuesta
ColdZimeh

#766 Un yo por ejemplo, hago .pst anuales de mi correo corporativo. Esto lo que hace es eliminar del servidor de correo todo lo que has seleccionado para tener espacio de nuevo. Eso si, el .pst lo tengo en mi pc y en un disco externo + en el bacukup que le hago a mi equipo cada mes

1
SpiuK

#767 Alguno ha llegado a borrar archivos de la papelera de segundo nivel (ya hay que ser cafre) y al decirle que va a perder el trabajo de un día te la lía.

Le explicas que haga copia de esos archivos que no quiere perder y aun así te ponen pegas.

Como siempre digo... A mi me funciona y yo no he perdido datos. También flipas con la dejadez de la gente en casos de pérdida de datos, es como si no les corriera prisa y después vienen los lloros.

Les dices que todo eso está en la documentación oficial y ya petan del todo.

1 respuesta
ColdZimeh

#769 Estamos hablando de un ataque que ha dejado KO alguna que otra oficina, dudo mucho que alguno se rebote por perder un día de trabajo, si no es menos.

1 1 respuesta
SpiuK

#770 Hay de todo.

1 respuesta
ColdZimeh

#771 Ya, pero les dices que es lo que hay y a otra cosa. Que si quiere explicaciones que hable con tu responsable.

mongui

Es genial porque todo el mundo va como the best IT advisor in the world y todo el mundo sabe que habría que haber hecho y que no, pero luego en el puesto de trabajo son a los primeros a los que les sueltan collejas, true history bro

2 1 respuesta
werty

#743 el servidor que hace los backups no te importa realmente. si se necesita se monta uno nuevo. Mientras tengas acceso a los backups, podrás recuperarlo con el servidor de backup antiguo o con uno nuevo que te montes.

Normalmente los backups se hacen en dispositivos que no se verían afectados por el virus (arquitecturas linux) e incluso a cintas magnéticas.

yo trabajé en un caso de un hospital chino afectado por un ransonware y tenían los backups directamente en otros servidores windows, así que los propios backups estaban encriptados también... no sé cómo acabó el tema, pero me imagino que no muy bien

1 respuesta
AikonCWD

#773 No es eso tampoco, pero aunque no haya tenido nada que ver... es inaceptable tener servidores sin actualizar y con el RDP expuesto a pelo (con puerto por defecto) a internet. Y eso lo hemos visto todos a raíz del incidente.

Nadie va a criticar la ejecución de un phising. Eso le puede ocurrir a cualquiera. Pero cosas básicas como tener a los usuarios en cuentas sin admin-local es algo que se critica y se va a criticar siempre.

2 respuestas
ColdZimeh

#775 Yo lo de las cuentas de local admin siempre lo criticaré y en mi empresa está al orden del día. Pero desde el departamente sudan completamente. Lo primero que hacen nada más entrar en la empresa es darte un portátil y configurarte el local admin para que no les des por culo con los programas que quieras instalarte, cosa que también es incorrecta a tope xd

1 1 respuesta
mongui

#775 NINGUNA empresa esta exenta de estos males, adolecen en cualquier empresa de este sector, el problema es que cuando te sacan las vergüenzas en situaciones de esta magnitud, se te ven las carencias. Es lamentable que tengan que ocurrir sucesos como estos para que se tomen cartas en el asunto pero aun asi la gente no va a aprender, va en la naturaleza del ser humano quebrantar las reglas y la gente seguirá haciendo lo que le salga de la cola

Por cierto, el admin local en todo mi proyecto ni en el resto de proyectos de nuestra rama como dije, no tiene admin nadie. Solo 2 tenemos ese control, yo porque virtualice en su dia el portátil que me dieron y lo tengo en el mac y mi colega que viene de otro proyecto y tenia ciertos privilegios. Salvo eso, todos los demas son usuarios comunes y silvestres, pero lo que tambien dije es que generalizar esta muy bien pero en empresas de tamaño grande, no aplica en todo el % de gente

2 1 respuesta
Hernani

#774 #745 la movida y por la cual pregunto es que en mi empresa tenemos una maquina fisica para los backups con un storage array y veeam instalado , hacemos un backup de todo el Vcenter entero y luego algunos dump files y luego eso va a cintas, pero claro... ahora yo me pregunto si nuestro servidor físico se va a la mierda o es infectado... desde donde restauramos los backups?

Le acabo de hacer la pregunta de que creo que no estamos realizando un backup de la base de datos SQL de veeam al consultor externo que supuestamente nos lleva todo esto y la respuesta ha sido un poco .... "indeed... we should..." me quiero pegar un tiro..

3 respuestas
mongui

#778 Estoy en medio del diseño de una arquitectura completa de backup para un cliente, si necesitas ayuda dime porque ademas la estamos basando en Veeam :clint:

Fdo. Best IT advisory in the world

1 respuesta
AikonCWD

#777 eeeh? no!

Ninguna empresa debería tener un RDP expuesto a internet. Pero es que encima estamos hablando de Everis, no de una pyme de barrio que vende persianas por internet con un prestashop. No hay excusa alguna ante ese hecho. Cualquier cliente con 2 dedos de frente debería dejar de trabajar con una empresa que comete un error de esa magnitud.

Y no estoy criticando el que un usuario se como un phising.

Por otra parte es una irresponsabilidad para el sector no publicar ICOs ante un ataque de esa magnitud. Everis está llevando y gestionando el incidente de la forma más egoísta y peligrosa que se podía imaginar. Y no estoy generalizando con sus trabajadores, si no con la dirección y gestión con todo este tema.

2 respuestas