#29 Pues poca cosa ves entonces. Prácticamente el 100% de casos de este estilo se dan porque lo sistemas no están actualizados, lo cual normalmente se debe a falta de presupuesto en seguridad. Los empleados van a clickar los links sí o sí, no puedes esperar que todo el mundo sea experto en seguridad informática, pero una empresa responsable no se infecta.
Al parecer Everis tiene varios servidores con el RDP expuesto a internet:
https://twitter.com/GossiTheDog/status/1191319262796951552/photo/1
Casi seguro el spread ha venido por BlueKeep
#125 Me voy a dar un puntito en la boca porque creo recordar que cuando estuve currando para una empresa grande en españa y nos enviaron fuera de las oficinas del cliente, me abrí el rdp para conectarme desde la oficina de la consultora a mi pc que lo bajaron y pusieron en el CPD (todavía no entiendo por qué). Solo porque me daba la chapa usar citrix por el lag que tenía.
Era joven y alocado.
Si es que hace dos días estaba haciendo pruebas de phising y me tragué una prueba propia a medias. Decía que tenía que resetear la password y la cambié, obviamente no pinchando en el link pero de verdad pensaba que me tocaba cambiar la pass.
#127 Si es que nos decían que VPN no, que usasemos un vdi de citrix. Pero como era cabezón y no me gustaba el input lag ese que tenía pues tirabas de admin de dominio y a la mierda las buenas prácticas.
#128 Al final con el uso diario acabas perdiendole el miedo y hacemos estas cosas...
Peores cosas he visto la verdad xD...
Sólo basta alguien dentro de una red del gobierno para quemar todo el sistema, la mayoría de webs de entidades públicas son hechas mal y rapido por consultoras gordas... Seguridad la justtia.
#131 Fortune500 son las 500 empresas americanas mas grandes. Fortune15 significa top 15 del ranking. Luego tienes el Global500 que son las 500 empresas mas grandes a nivel mundial.
#124 Hay mil razones para abrir un RDP a Internet y todas malas. Yo trabaje en un proyecto que usaban el RDP publicado en Internet para que los proveedores se metieran y subieran ficheros de las operaciones que hacian. Les intentabas hacer entender que no era la mejor manera y que habia que hacerlo de otra manera y no les entraba en la cabeza. Ni siquiera cambiar el puerto del RDP, joder ya que vas a abrir el puerto a todo Internet al menos filtra IPs en el firewall y cambia el puerto...
#111 Sigo sin ver porque necesitas permisos de administrador local para programar la verdad. Salvo que estes programando drivers que quieras probar en tu equipo o el instalador de la aplicacion de turno, para que quieres esos permisos? Lo ideal seria tener el ambiente de test completamente aislado en una subnet con su ACL de turno y virtualizado de tal manera que si me entra alguna mierda pueda tirar del cable y pueda recuperar el entorno al punto inicial. La VDI de turno la puedes tener completamente plataformada con el IDE o herramientas que uses.
Coincido contigo que la seguridad total no existe pero entre eso y tener una arquitectura de tipo gruyere pues que quieres que te diga, prefiero intentar cerrar todas las puertas y hacer las cosas bien a tener a todo el mundo como administrador local de su maquina. Y ojo que soy el primero que ha puesto el grito en el cielo por tener que ir al service desk de turno para instalar una aplicacion pero al final no me parece nada anormal.
Soy trabajador de Everis y a lo largo del día hemos tenido todos los pc's apagados y demás, parece ser que lo están solucionando
#25 dad gracias que tenéis admin. La alternativa es tener que llamar a un indio cada 2x3 por problemas de impresora o cualquier chorrada así.
El problema es tener equipos sin parchear. Ante 0days no hay solución.
#135 Vuelve a la cama que están todos los pcs infectados xD
Por defecto los dan sin admin... pero como es normal.... en estas grandes empresas se trabaja con tantísimos entornos y licencias que pagan los propios clientes que seria imposible tener al indio gestionando esa brutalidad de peticiones.
#133 solucionarlo es fácil. Pagan el rescate y solucionado. Seguramente ya esté pagado y estén trackeando los bitcoins.
#137 Si pagas un rescate quien te dice que de aquí 1 mes no vuelven a chantajearte. Digo yo que algún rastro queda a pesar de que te desbloqueen el cifrado.
Hay comunicados donde se dice que vayamos a la oficina a conectar equipos a la red (siempre y cuando no estes infectado, obv) y se actualizaran solos, yo como soy guay y no uso pc corporativo, me ahorro ir xD Veamos como se acontece el dia
#138 porque el precedente es que pagas te desencriptan, en 2 días estás currando y te dejan en paz. No es la primera ni ultima empresa que pillan y los hospitales y de más que pillaron pagaron y en 2 días seguían trabajando.
El curro que requerirían para reformatear, reconfigurar + la información perdida sin backup que no será poca, hace que pagar sea lo mejor. Desencriptar no van a desencriptar nada si no pagan.
#141NeV3rKilL:Desencriptar no van a desencriptar nada si no pagan.
Eso desde luego. La cuestión es lo que les renta pagar chantajes. Actualmente para la entidad financiera que trabajo, todos los servicios de los proveedores accenture y everis están parados y ademas de las perdidas internas que están teniendo, imagino que generara muchísima desconfianza a clientes de la banca y muchos proyectos se los darán a otros proveedores.
Y ya pueden arreglar ponerse operativos rápido, por que ya te digo que muchos de los servicios que estaban dando son críticos y pueden tener afectaciones millonarios a sus clientes.
#141 no es tanto curro si tienes un sccm o similar. En 3 clicks estás plataformando todos los equipos y en una horita y poco todas las workstations a currar de nuevo
#143 Creo que el que no está informado eres tú, en casos como estos el pago supone un porcentaje tan ínfimo de las perdidas que se suele llevar a cabo simplemente para conocer si es viable el recuperar los ficheros pagando o es puro scam y no hay clave de desencriptado si quiera. A partir de ahí ya se plantea si tirar de backups si existieran, si realizar pago/pagos y desencriptar, si dar por perdida la información, o qué.
#146 Desde Symantec me han pasado estos:
IoCs
• behindcorona[.]com
• code.jquery.cdn.behindcorona[.]com
• 8f3cd9299b2f241daf1f5057ba0b9054
• 35373d07c2e408838812ff210aa28d90e97e38f2d0132a86085b0d54256cc1cd
• 27e941683d09a7405a9e806cc7d156c9
• 8fb2558765cf648305493e1dfea7a2b26f4fc8f44ff72c95e9165a904a9a6a48
• f614909fbd57ece81d00b01958338ec2
• cafe8f704095b1f5e0a885f75b1b41a7395a1c62fd893ef44348f9702b3a0deb
• [email protected]
#147 esos IOCs son de WizardOpium y su exploit de chrome, no? Por fechas no me cuadra que sean esos, pero ahora mismo me has dejado con la duda xd....
#142legent:Y ya pueden arreglar ponerse operativos rápido, por que ya te digo que muchos de los servicios que estaban dando son críticos y pueden tener afectaciones millonarios a sus clientes
Doy fe, tengo un cliente con media empresa parada por culpa de esto. Obviamente va a cambiar de proveedor en cuanto pueda y va a demandarles por los daños y perjuicios en breve.
#148 exacto, pero a falta de más info son los primeros que nos han recomendado bloquear. No he preguntado más pero les huele que ha tenido algo que ver.
