La Ser, Everis y otras empresas bloqueadas por ransomware

Kenderr

#869 Yo lo he visto en una de las big four

1 respuesta
forcem

Pone qué no superan el smi, no que sea más bajo. Se quejan de que les pagan lo mínimo posible. Sin entrar en horas extras no pagadas claro.
O eso entiendo yo

1
SikorZ

#871 Normal, las big4 ya te pagan con su 'prestigio' xdddd

Vedrfolnir

#866 Es que es ya de pitorreo. No sé cómo estarán en otras oficinas, pero en la mía aún no tenemos acceso a la red de cliente, y está la oficina medio vacía. Trabajan los que tienen portátil porque están de teletrabajo, y los pocos afortunados que no necesitan acceder a red de cliente o consiguen agenciarse un pincho 3G nada más llegar a la oficina...

Y lo mejor es que no tiene pinta de mejorar esta semana (que ojalá y me equivoque)

2 respuestas
B

#874 Pura ignorancia, los llamas afortunados, pero realmente los que no podéis trabajar seguís con vuestro sueldo no? No han hecho la trama para no pagar los días o yo que sé.

2 respuestas
Culebrazo

#875 al final te aburres de ir al trabajo a mirar por la ventana

Un par de dias ok... cuando llevas una semana le tiras el cafe a la cara al primero que te de los buenos dias

1 2 respuestas
AikonCWD

cuando os den acceso de nuevo a la red os ponéis a ejecutar mas ransomwares y que les folleni

9 1 respuesta
B

#876 No si ya, pero me refería más bien por el tema pasta y demás. No va a estar nada mal la oficina cuando puedan ponerse a trabajar otra vez, es lo que más pena me da, ni Vietnam.

Vedrfolnir

#875 Según la noticia de #866, en algunos lados les han "obligado" a cogerse esos días de vacaciones, eso ya va molando menos xD

Y cobrar si, cobramos igual. Eso no quita que como dice #876 no esté harto de no poder hacer nada en una semana ya. Los loles del primer día duraron eso, un día. Ahora el trabajo se acumula, se nota la tensión, y los proyectos a ver si se quedan todos o alguno se pierde por el camino.

1 respuesta
tany251

#879 Es lo que tiene que haya gente haciendo dobles turnos y turnos de hasta 20 horas, que llega un momento que el saco de ilegalidades que estas cometiendo te puede meter una ostia mas gorda de la que les esta dando el ramsomware.

mongui

Debo de ser de los pocos que está contentisimo en la empresa... en un rato edito y pongo mi valoración después de 1 semana

1 3 respuestas
AikonCWD

#881 es posible que estés trabajando en una oficina/departamento que no ha sido afectado por el bicho?

Vedrfolnir

#881 Al contrario, si yo estoy muy contento en everis, de verdad que lo digo xD
Pero que estoy un poco harto de la situación actual también es verdad, a ver si se arregla todo y vuelve a la normalidad xD

1
Vandalus

#877 Y si puede ser de esos que vienen en árabe, asi a los dos meses sabrán donde pagar los bitcoin xd

1 comentario moderado
Seyriuu

#874 en oficinas de cliente (me voy a reservar quien) noa dieron de baja todos los usuarios y luego nos han dado se alta sólo unos pocos. Así que unos pocos trabajan y el resto nos rotamos un usuario según necesidad.

No entiendo qué les costaba darnos todos los usuarios de alta, si además estamos usando los pcs de cliente con su red porque los de Everis no podemos conectarlos a la red

1 respuesta
Kenderr

#886 Sois como leprosos en la edad media, ahora tendran miedo de ti y de cada correo que envies.

1
CaNaRy_r00lz

#881 Ese edit, que necesito mi dosis diaria xD

mongui

Buen dia, ayer tuve mil cosas en casa y me fui a dormir, hoy vine de nuevo a la oficina porque tenemos ciertos compromisos on site.

Despues de 1 semana, sinceramente desde ayer en la oficina tengo la sensación de que no hubiera pasado nada. Es decir, si, ha habido una hecatombe a nivel interno, pero el retomar los proyectos donde los dejamos, me hace ver que el impacto a nivel cliente es mínimo. Es mas, tenemos proyectos que pense que se iban a ver impactados de manera seria por este motivo y el cliente ha retomado las cosas donde se quedaron una vez que se ha argumentado lo que pasó. El ambiente en la oficina es normal, si cualquiera de fuera viniera, no diria que paso lo que paso.

Ahora, eso es la vision global y objetiva de lo que veo. A titulo personal no me ha gustado como se han manejado las cosas a nivel empresa, ni de cara al exterior, ni al interior ni a clientes ni ningún otro nivel. Te ibas enterando mas rapido de las cosas por otros medios que por las vías que supuestamente deberían ser las optimas (comunicados internos por ejemplo). Pero claro, tambien es cierto que no habia mail, la intranet no funcionaba y las únicas maneras de comunicar mensajes de esa manera aunque sea lo menos optimo, es a través de vías no seguras como apps de mensajería instantánea.

El resumen es que si, hemos sufrido un ataque pero los daños han sido mínimos (tengo buena fuente de ello) pero se podia haber manejado de distinta manera creo yo, aunque tambien es fácil decirlo estando en mi posición

1 respuesta
B

Para los que tenéis veeam, los archivos de las copias también son encriptables.

No basta con tener veeam, hay que tener buenas prácticas: 3-2-1 https://www.veeam.com/blog/how-to-follow-the-3-2-1-backup-rule-with-veeam-backup-replication.html

esto es más importante de lo que creéis.

Además la máquina del veeam fuera de dominio y con una cabina que no tenga credenciales similares a las del dominio.

1 respuesta
Shikoku

#890 se había comentado unas páginas atrás si

Lo de fuera de dominio ya va por gustos, aunque si eres de poner un admin/admin123 pues casi que si xD

Los que tenéis veeam usáis cabina o server con discos tochos? Nosotros tenemos ambos

1 respuesta
B

#891 dentro de dominio es una locura, normalmente suelen ir a por la contraseña se admin global, si tengo tu pass de admin, entro a tu veeam y te piso todas las copias online que tengas antes de encriptarte, reza por haber sacado copias a extraibles.

Y da igual que tengas admin123 que Ba272-€;€(whhjduesnsbw de pass, no se suelen probar a fuerza bruta, se suelen sacar con keyloggers o phishing normalmente.

sobre lo de un sitio u otro:
Depende mucho de tu infraestructura, ahora estoy trabajando en un cliente que se tiene en la cabina aparte, que va a otra cabina aparte en otro sitio y en discos duros extraíbles diarios.

Pero es muy habitual tener una primera copia en la cabina del host de veeam y otra en otra cabina alejada o cloud para empresas medianas, normalmente la gente no se molesta en sacarlas a medios extraibles, pero créeme que te puede salvar el culo muy mucho.

1 respuesta
CaNaRy_r00lz

#889 Para que los danios hayan sido minimos, entiendo que se ha recuperado la informacion que se encripto? sabes si se pago rescate o como lo solucionaron?

Thanks por el update

1 respuesta
mongui

#893 De esa parte aun no se puede decir nada, al menos yo no filtrare info

1 respuesta
CaNaRy_r00lz

#894 Pero tienes la info no? es decir, sabes que se ha hecho ?

B

Entiendo que de gran parte de la informacion tendrian backups.

B

Se comentaba unas páginas atrás que Everis tenía partes en Sharepoint, esas partes las habrán podido recuperar sin problema abriendo incidencia con Microsoft.
El resto que haya sido encriptado o pagan rescate o no lo recuperan, por ahora, al menos.

Shikoku

#892 bueno si me tengo que preocupar pq me hagan pishing a mí ya mal vamos xD

Nosotros usamos libraría de cintas que se guardan precisamente en 2 sitios diferentes

1 respuesta
B

#898 Pero son accesibles con el mismo user pass? a ver, son recomendaciones, pero tras ver suficientes desastres te aconsejo que las prevenciones nunca son suficientes y es la parte de seguridad más crítica que puede tener un sysadmin: puedes salvar una empresa o quebrarla. Que no funcione la red, ok, que pares a los usuarios, ok, que desaparece toda la información de la empresa, ufff...

Sobre el phishing, explicado rápido y mal un posible y típico método de entrada;
Hay muchos niveles de phishing, pero vamos, normalmente accedes al ordenador del usuario con phishing o troyano y entonces seteas un keylogger, haces que algo malfuncione al usuario, pides credenciales de admin para algo (tipo instalar alguna actualización de java o similar) y ahí las pescas, suponiendo que el user no tenga admin local.

1 respuesta
D

#867 en el sector TIC? por supuesto

1 respuesta