La Ser, Everis y otras empresas bloqueadas por ransomware

Hernani

#779 Pues si me dices en que puntos flaqueamos y cuales son las mejores practicas estaria bien.

Como he dicho tenemos un server fisico con un storage array que hace copias de todo el Vcenter( todas las maquinas virtuales) , algunos dump files sueltos al storage array , y una vez completado ese backup , se pasa todo a cinta con 4 pools diferentes , 1 para cada semana ( a partir de la cuarta empezamos a reescribir sobre la mas antigua) hacemos incremental diarias ( tanto en el storage array como en cinta) y una full por semana.

Creo que tenemos varios holes... por no decir muchos.

1.Solo tenemos 4 semanas de backup
2.Si nuestro server fisico de backup del cual no tenemos copia de veeambackupSQL( la base de datos) se va a tomar viento o es infectado... desde donde restituimos el resto de maquinas?
3.Que best practices recomiendas y como ves la situacion? , hago un backup externo en azure o en office 365 sharepoint que tenemos privado para el equipo de IT de la base de datos de veeam? con eso y con acceso a las cintas y al storage array no deberiamos tener problemas para restaurar backups desde otro server que montemos no?

CaNaRy_r00lz

#776 haha esa fue la forma que tuve para que me dieran el pw de admin de mi portatil es decir, yo tengo user normal pero si necesito instalar algo tengo que meter pw de admin, y al principio me dieron el portatil pelado asi que tenia que estar llamando cada 2x3 para que mediante teamview metieran el pw y blablabla a la 4° vez que llame me dieron el pw pero no se lo digas al director xDD yo pk solo instalo cosas para currar, uso chrome en modo incognito para mv, marca y demas pero he visto cosas que meh... tener el diablo, cs y demas en pcs del curro xD

mongui

#780 Te estoy dando la razon, lo que no ves es que eso sucede en TODAS las empresas, pero no lo sabes hasta que suceden eventos como estos donde salen a la luz los trapos sucios, no me vengas a decir ahora que el resto de empresas son crema y jamas hacen estas cosas.

Que es de genero tonto dejarse un RDP sin tan siquiera cambiar el puerto expuesto a internet? Si, aquí y en la china. Que lo hacen en mas sitios? Obviamente que tambien

2 respuestas
D

#783 No está de más hacer auditorías de seguridad internas, pero claro, eso es un gasto importante y ya sabemos como funcionan estas cosas con los tipos de corbata

2 respuestas
Culebrazo

#758 madre mia los recuerdos con los pst gigantes

y ehh, a llorar de que tarda en cargar el outlook cuando lo abren jajajajaja malditos usaurios

1 respuesta
SikorZ

#784 Eso es muy divertido porque sólo se cumple el protocolo el día que viene la auditoría xD

Un gasto en balde.

2 respuestas
mongui

#784 Lo se lo se, tengo historias para contar que quitan el sueño asi que decidí que viviría el dia a dia sin preocuparme del futuro en esos temas, si no, el ictus/coma/infarto estaba muy cerca

D

#785 esos mails con mas de 8 años de antigüedad y que no te permiten eliminar porque "seguro que hay algo importante ahí"

#786 y luego te encuentras RDPs abiertos al mundo que parecen el coño de la Bernarda

1 respuesta
SikorZ

#788 Ya ves, aquí intentaron poner el tema de no administradores y a los dos dias ya tenía admin local en mi PC. Es que sin admin no puedo hacer una putísima mierda.

Ahora estamos con Avecto, no le veo mucha utilidad pero supongo que les deja la conciencia mas tranquila xd...

1 respuesta
ColdZimeh

#789 ¿Qué es Avecto?

1 respuesta
SikorZ

Avecto Defendpoint

#790 https://securitycommunity.tcs.com/infosecsoapbox/articles/2019/06/19/endpoint-security-avecto-defendpoint

En teoría elimina admins locales pero ya te digo que personalmente no me da la sensación de que sirva de mucho.

Bien es cierto que no he investigado una mierda sobre el ni me importa pero no me da buena sensación, me parece más un coñazo que algo que realmente nos proteja.

PiPePiTo

#783 No me jodas hombre, con una auditoría decente lo del RDP habría salido al menos...

La mayoría de empresas se toman las auditorías como algo serio y parece que este no ha sido el caso.

D

Que feliz el día que dejé de encargarme de los PCs de los usuarios

1 respuesta
werty

#778 te montas otro servidor físico distinto, con mismo hostname, y haces un disaster recovery de la base de datos de los backups que tenga veeam y luego puedes recuperar las máquinas (primero el vcenter, luego las máquinas etc)

incluso aunque no tuvieras la base de datos de los backups (de la que deberías tener backups) debería poder "escanearse" todos los backups desde el storage de alguna manera (mirate la guia fe veeam) y reconstruir la base fe datos.

1 1 respuesta
SikorZ

#793 Es que debe ser un infierno, yo siempre lo he pensado.

Por un lado la empresa te putea sin darte recursos y por otro la gente te putea tambien porque no tienen recursos y tu en medio comiendo la mierda por un sueldo de mierda.

No renta en absoluto.

1 respuesta
CaNaRy_r00lz

#795 Yo creo que lo peor es la gente que no tiene ni puta idea, les explicas y como quien escucha llover... Yo ya lo he dicho no soy IT ni nada parecido, siempre me ha gustado esto, pero termine aprendiendo que cuando me preguntan "sabes de ordenadores?" la respuesta siempre es No, no tengo ni puta idea, pendrive ? eso que es? y vives mas feliz hahah varias empresas que he estado tenian a gente que por hobby tenia conocimientos como IT y cada vez que pasaba algo al pobre lo violaban xD

1 respuesta
SikorZ

#796 Pfff la típica de si eres informático sabes hasta de lavadores.

No me habrán caído merdas de compromisos con vecinos y amigos de mis padres... Madre mía...

Hernani

#794 Muchas gracias!

Shikoku

#778 nosotros tenemos el veeam en Server virtual y la copia de la bbdd se hace a tres sitios diferentes, que son el repositorio (otro servidor físico) , un share de otra VM de otro host diferente y una tercera copia a cinta.

Si tiene que coincidir un día que se me peten las 3 copias, dejo la informática xD

Esto fue lo mejor y hablado con un preventa de veeam.

Pd: hice todo el diseño e implantación, así que si tienes dudas que pueda responderte, adelante (por MP si prefieres)

1 respuesta
Shikoku

#746 hicimos un test bastante completo (no de todo por falta de hardware) y en unas 4-5 horas la infra interna de la empresa estaría levantada

Con el dpm de mierda se nos iba a un día o más. Lo que me sorprende todavía más, es que la herramienta de backup de azure sea un dpm por debajo, lo deben de tener customizado hasta el infinito para que sea fiable xD

Pd: pensaba q alguien escribiría entre los tochos, sorry xD

1
SirNomeD

¿Novedades? ¿Seguís sin trabajar los de Everis?

2 respuestas
mongui

#801 Yo vine a la oficina como primer dia de la semana y todo esta correcto, no funciona algún servicio interno pero por lo demas, sin problemas

AikonCWD

#801 Siguen sin comunicado oficial :(

Examinando un poco el proceso del virus... tiene un evader contra la nueva sandbox de windows defender. Se puede "explotar" como killswitch para esta amenaza (como curiosidad).

Simplemente dejando un fichero de texto en C:\aaa_TouchMeNot_.txt y el ransomware detendrá su ejecución antes de liarla parda.

Vale que estas cosas es imposible saberlas sin antes analizar la amenaza una vez la tienes dentro. Pero me ha resultado curioso xd

2 respuestas
mongui

#803 No seais cabezotas, no va a haber comunicado oficial al menos en una buena temporada, si creeis que va a haber algo por parte de everis diciendo: nos han follao pero no os preocupéis que esto se paga como agua churros !!

Jamas va a suceder eso hasta que se calmen las aguas

2 respuestas
ReEpER

#786 donde yo curro ya te digo que absolutamente cada dia se siguen protocolos al dedillo.

Mas que nada porque no podemos perder isae/eidas y demas certificaciones.

1 respuesta
AikonCWD

#804 Juraría que el GDPR actual obliga a las compañías a informar tras recibir un Data Breach

Breach Notification: Under the GDPR, breach notification is mandatory and companies must notify individuals impacted in a data breach within 72 hours of first having become aware of it. Data Control: Consumers must have the right to access their personal data free of charge, in an electronic format.

Han accedido a sus sistemas, equipos (y seguramente servidores). Tienen que emitir un comunicado a las 72Hr. No entiendo por qué no explican lo sucedido y no entiendo por qué nadie lo está denunciando.

/summon @Soy_ZdRaVo para que confirme
edit: https://gdpr-info.eu/art-33-gdpr/

3 respuestas
B

#804 y de momento las aguas como están?

Desbordadas? Con diques y casi al límite?, o ya con la presa hecha y listo para volver a la normalidad?

1 respuesta
ColdZimeh
#803AikonCWD:

Simplemente dejando un fichero de texto en C:\aaa_TouchMeNot_.txt y el ransomware detendrá su ejecución antes de liarla parda.

Esto que dices es para este en concreto?

1 respuesta
AikonCWD

#808 sí, única y exclusivamente para este malware. Otra opción más limpia sería activar el modo Sandbox de Windows Defender

1
SikorZ

#805 Jajajaja me río yo de las certificaciones.

Aquí sabemos cuando vienen con dos semanas de adelanto, así que las cumplimos el dia antes y el día de la auditoria y al carajo...

1 1 respuesta