OFF-Topic

La Ser, Everis y otras empresas bloqueadas por ransomware

Hernani
Hernani #781 Nov '19

#779 Pues si me dices en que puntos flaqueamos y cuales son las mejores practicas estaria bien.

Como he dicho tenemos un server fisico con un storage array que hace copias de todo el Vcenter( todas las maquinas virtuales) , algunos dump files sueltos al storage array , y una vez completado ese backup , se pasa todo a cinta con 4 pools diferentes , 1 para cada semana ( a partir de la cuarta empezamos a reescribir sobre la mas antigua) hacemos incremental diarias ( tanto en el storage array como en cinta) y una full por semana.

Creo que tenemos varios holes... por no decir muchos.

1.Solo tenemos 4 semanas de backup
2.Si nuestro server fisico de backup del cual no tenemos copia de veeambackupSQL( la base de datos) se va a tomar viento o es infectado... desde donde restituimos el resto de maquinas?
3.Que best practices recomiendas y como ves la situacion? , hago un backup externo en azure o en office 365 sharepoint que tenemos privado para el equipo de IT de la base de datos de veeam? con eso y con acceso a las cintas y al storage array no deberiamos tener problemas para restaurar backups desde otro server que montemos no?

CaNaRy_r00lz
CaNaRy_r00lz #782 Nov '19 Inocente

#776 haha esa fue la forma que tuve para que me dieran el pw de admin de mi portatil es decir, yo tengo user normal pero si necesito instalar algo tengo que meter pw de admin, y al principio me dieron el portatil pelado asi que tenia que estar llamando cada 2x3 para que mediante teamview metieran el pw y blablabla a la 4° vez que llame me dieron el pw pero no se lo digas al director xDD yo pk solo instalo cosas para currar, uso chrome en modo incognito para mv, marca y demas pero he visto cosas que meh... tener el diablo, cs y demas en pcs del curro xD

mongui
mongui #783 Nov '19

#780 Te estoy dando la razon, lo que no ves es que eso sucede en TODAS las empresas, pero no lo sabes hasta que suceden eventos como estos donde salen a la luz los trapos sucios, no me vengas a decir ahora que el resto de empresas son crema y jamas hacen estas cosas.

Que es de genero tonto dejarse un RDP sin tan siquiera cambiar el puerto expuesto a internet? Si, aquí y en la china. Que lo hacen en mas sitios? Obviamente que tambien

2 respuestas
D
DiSKuN #784 Nov '19

#783 No está de más hacer auditorías de seguridad internas, pero claro, eso es un gasto importante y ya sabemos como funcionan estas cosas con los tipos de corbata

2 respuestas
Culebrazo
Culebrazo #785 Nov '19

#758 madre mia los recuerdos con los pst gigantes

y ehh, a llorar de que tarda en cargar el outlook cuando lo abren jajajajaja malditos usaurios

1 respuesta
SikorZ
SikorZ #786 Nov '19 El Gran Carlemany

#784 Eso es muy divertido porque sólo se cumple el protocolo el día que viene la auditoría xD

Un gasto en balde.

2 respuestas
mongui
mongui #787 Nov '19

#784 Lo se lo se, tengo historias para contar que quitan el sueño asi que decidí que viviría el dia a dia sin preocuparme del futuro en esos temas, si no, el ictus/coma/infarto estaba muy cerca

D
DiSKuN #788 Nov '19

#785 esos mails con mas de 8 años de antigüedad y que no te permiten eliminar porque "seguro que hay algo importante ahí"

#786 y luego te encuentras RDPs abiertos al mundo que parecen el coño de la Bernarda

1 respuesta
SikorZ
SikorZ #789 Nov '19 El Gran Carlemany

#788 Ya ves, aquí intentaron poner el tema de no administradores y a los dos dias ya tenía admin local en mi PC. Es que sin admin no puedo hacer una putísima mierda.

Ahora estamos con Avecto, no le veo mucha utilidad pero supongo que les deja la conciencia mas tranquila xd...

1 respuesta
ColdZimeh
ColdZimeh #790 Nov '19

#789 ¿Qué es Avecto?

1 respuesta
SikorZ
SikorZ #791 Nov '19 El Gran Carlemany

Avecto Defendpoint

#790 https://securitycommunity.tcs.com/infosecsoapbox/articles/2019/06/19/endpoint-security-avecto-defendpoint

En teoría elimina admins locales pero ya te digo que personalmente no me da la sensación de que sirva de mucho.

Bien es cierto que no he investigado una mierda sobre el ni me importa pero no me da buena sensación, me parece más un coñazo que algo que realmente nos proteja.

PiPePiTo
PiPePiTo #792 Nov '19

#783 No me jodas hombre, con una auditoría decente lo del RDP habría salido al menos...

La mayoría de empresas se toman las auditorías como algo serio y parece que este no ha sido el caso.

D
DiSKuN #793 Nov '19

Que feliz el día que dejé de encargarme de los PCs de los usuarios

1 respuesta
werty
werty #794 Nov '19

#778 te montas otro servidor físico distinto, con mismo hostname, y haces un disaster recovery de la base de datos de los backups que tenga veeam y luego puedes recuperar las máquinas (primero el vcenter, luego las máquinas etc)

incluso aunque no tuvieras la base de datos de los backups (de la que deberías tener backups) debería poder "escanearse" todos los backups desde el storage de alguna manera (mirate la guia fe veeam) y reconstruir la base fe datos.

1 1 respuesta
SikorZ
SikorZ #795 Nov '19 El Gran Carlemany

#793 Es que debe ser un infierno, yo siempre lo he pensado.

Por un lado la empresa te putea sin darte recursos y por otro la gente te putea tambien porque no tienen recursos y tu en medio comiendo la mierda por un sueldo de mierda.

No renta en absoluto.

1 respuesta
CaNaRy_r00lz
CaNaRy_r00lz #796 Nov '19 Inocente

#795 Yo creo que lo peor es la gente que no tiene ni puta idea, les explicas y como quien escucha llover... Yo ya lo he dicho no soy IT ni nada parecido, siempre me ha gustado esto, pero termine aprendiendo que cuando me preguntan "sabes de ordenadores?" la respuesta siempre es No, no tengo ni puta idea, pendrive ? eso que es? y vives mas feliz hahah varias empresas que he estado tenian a gente que por hobby tenia conocimientos como IT y cada vez que pasaba algo al pobre lo violaban xD

1 respuesta
SikorZ
SikorZ #797 Nov '19 El Gran Carlemany

#796 Pfff la típica de si eres informático sabes hasta de lavadores.

No me habrán caído merdas de compromisos con vecinos y amigos de mis padres... Madre mía...

Hernani
Hernani #798 Nov '19

#794 Muchas gracias!

Shikoku
Shikoku #799 Nov '19 Gafe

#778 nosotros tenemos el veeam en Server virtual y la copia de la bbdd se hace a tres sitios diferentes, que son el repositorio (otro servidor físico) , un share de otra VM de otro host diferente y una tercera copia a cinta.

Si tiene que coincidir un día que se me peten las 3 copias, dejo la informática xD

Esto fue lo mejor y hablado con un preventa de veeam.

Pd: hice todo el diseño e implantación, así que si tienes dudas que pueda responderte, adelante (por MP si prefieres)

1 respuesta
Shikoku
Shikoku #800 Nov '19 Gafe

#746 hicimos un test bastante completo (no de todo por falta de hardware) y en unas 4-5 horas la infra interna de la empresa estaría levantada

Con el dpm de mierda se nos iba a un día o más. Lo que me sorprende todavía más, es que la herramienta de backup de azure sea un dpm por debajo, lo deben de tener customizado hasta el infinito para que sea fiable xD

Pd: pensaba q alguien escribiría entre los tochos, sorry xD

1
SirNomeD
SirNomeD #801 Nov '19

¿Novedades? ¿Seguís sin trabajar los de Everis?

2 respuestas
mongui
mongui #802 Nov '19

#801 Yo vine a la oficina como primer dia de la semana y todo esta correcto, no funciona algún servicio interno pero por lo demas, sin problemas

AikonCWD
AikonCWD #803 Nov '19 Git Gud

#801 Siguen sin comunicado oficial :(

Examinando un poco el proceso del virus... tiene un evader contra la nueva sandbox de windows defender. Se puede "explotar" como killswitch para esta amenaza (como curiosidad).

Simplemente dejando un fichero de texto en C:\aaa_TouchMeNot_.txt y el ransomware detendrá su ejecución antes de liarla parda.

Vale que estas cosas es imposible saberlas sin antes analizar la amenaza una vez la tienes dentro. Pero me ha resultado curioso xd

2 respuestas
mongui
mongui #804 Nov '19

#803 No seais cabezotas, no va a haber comunicado oficial al menos en una buena temporada, si creeis que va a haber algo por parte de everis diciendo: nos han follao pero no os preocupéis que esto se paga como agua churros !!

Jamas va a suceder eso hasta que se calmen las aguas

2 respuestas
ReEpER
ReEpER #805 Nov '19 Gafe

#786 donde yo curro ya te digo que absolutamente cada dia se siguen protocolos al dedillo.

Mas que nada porque no podemos perder isae/eidas y demas certificaciones.

1 respuesta
AikonCWD
AikonCWD #806 Nov '19 Git Gud

#804 Juraría que el GDPR actual obliga a las compañías a informar tras recibir un Data Breach

Breach Notification: Under the GDPR, breach notification is mandatory and companies must notify individuals impacted in a data breach within 72 hours of first having become aware of it. Data Control: Consumers must have the right to access their personal data free of charge, in an electronic format.

Han accedido a sus sistemas, equipos (y seguramente servidores). Tienen que emitir un comunicado a las 72Hr. No entiendo por qué no explican lo sucedido y no entiendo por qué nadie lo está denunciando.

/summon @Soy_ZdRaVo para que confirme
edit: https://gdpr-info.eu/art-33-gdpr/

3 respuestas
B
[Borrado] #807 Nov '19

#804 y de momento las aguas como están?

Desbordadas? Con diques y casi al límite?, o ya con la presa hecha y listo para volver a la normalidad?

1 respuesta
ColdZimeh
ColdZimeh #808 Nov '19
#803AikonCWD:

Simplemente dejando un fichero de texto en C:\aaa_TouchMeNot_.txt y el ransomware detendrá su ejecución antes de liarla parda.

Esto que dices es para este en concreto?

1 respuesta
AikonCWD
AikonCWD #809 Nov '19 Git Gud

#808 sí, única y exclusivamente para este malware. Otra opción más limpia sería activar el modo Sandbox de Windows Defender

1
SikorZ
SikorZ #810 Nov '19 El Gran Carlemany

#805 Jajajaja me río yo de las certificaciones.

Aquí sabemos cuando vienen con dos semanas de adelanto, así que las cumplimos el dia antes y el día de la auditoria y al carajo...

1 1 respuesta

Usuarios habituales

  • Shikoku
  • CaNaRy_r00lz
  • SikorZ
  • mongui
  • AikonCWD
  • Vedrfolnir
  • ColdZimeh

Tags