#147 Muchas gracias!
A ver si Everis publica la lista de IOCs como en su comunicado...
#150 Por lo que he podido ver, el ransomware utilizado es BitPaymer. Se ha confirmado por el texto del rescue.txt que suelta.
#153 ayer se dijo que podría ser Ryuk, pero hoy parece que no. Ryuk atacó el ayuntamiento de Jerez y puede que por ahí llegase la confusión.
BitPaymer es más jodido. Está más centrado en servidores, detiene los principales motores de bases de datos (mssql, mysql, etc...) para así asegurar encriptar bases de datos, luego evidentemente borra shadowcopies y tal. Tiene UAC bypass y varias mierdas más. A ver si consiguen restaurar todo y a ver que cuentan dese Everis.
#151 #152 justo me acaban de confirmar la sospecha de BitPaymer. Toda la pinta tiene.
https://www.symantec.com/security-center/writeup/2019-072215-3220-99
Ryuk ataco a mi empresa y aun seguimos sin ordenadores, solo unos pocos privilegiados tienen acceso a ellos. Y ya llevamos 1 mes asi.
#160 Yo te puedo decir que de todo el equipo mío y otros proyectos de la misma envergadura, ninguno tiene el admin local, pero claro, siempre es mas facil generalizar, no todos los equipos ni toda la empresa funciona asi
#161 evidentemente no todos los departamentos ni oficinas de everis estarán en esa situación, pero que se han encontrado servidores con el RDP expuesto, sin parchear desde Mayo y equipos con admin local... pues resulta que alguno hay.
#163 Las informaciones que he visto de compañeros es que las infecciones han incurrido fuera de España pero se han replicado rapidamente entre otras oficinas de otros sitios, aun asi, dudo que nadie conozca el alcance de primera mano, y los que lo conozcan, se lo callaran
#160 En otras empresas tienen también admin local en los PCs pero con Avecto Defendpoint para cuando solicitas realizar cualquier tarea con administrador.
Igualmente creo que todo esto es poco relevante, al final si hacen ataques de este tipo seguro que tienen exploits para escalar permisos...
#164 Depende del tamaño y método de encriptación (no se cual utiliza éste), no es lo mismo 1Gb que 20PB
#166 Bueno, la pregunta iba mas encaminada a: si entra el ransomware este, y tarda X en encriptar todo, no hay posibilidad de actuar antes de que encripte todo?. ¿O lo hace en segundo plano y cuando acaba es cuando salta?.
#164 En éste caso ha sido un ataque dirigido (targetered), seguramente los atacantes han tenido acceso a la red/sistemas durante varios días. Lanzan el payload (encriptación) en horas bajas, fin de semana y de madrugada.
Hay muchos ransomwares y cada uno encripta de forma diferente. El más eficiente que he visto es uno que hace un seek del 25% del tamaño del fichero y encripta solo esa parte, dejando el fichero inservible y siendo un 75% más rápido que los otros ransomwares. Se las ingenian todas.
Hablando de un server que suele tener buenas CPUs... empiezan a sacar threads y lo dejan todo encriptado en cuestión de minutos.
edit: Recordad que las CPUs actuales llevan instrucciones AES por hardware. Es MUY RAPIDO encriptar si el sistema tiene una cpu/hardware con instrucciones AES y similares.
#168 Pues supongo que es indiferente cuando tienen exploits gordos y pueden zamparse el active directory igualmente.
Además por lo que veo estos ransomware estan muy pensados para servidores e incluso tienen la delicadeza de parar las BDs antes de encriptarlas...
Yo creo que esto no tiene ninguna solución, puedes poner palos en las ruedas pero al final no puedes hacer nada.
Simplemente tenemos que aceptar que incluso en el sitio mas protegido del mundo puede haber fallas si tienes los conocimientos y sobre todo los exploits necesarios...
Por decirlo de otra manera: ¿cómo puedes evitar que te entren en casa si el ladrón tiene una copia de la llave?
Aquí planteo una cuestión al aire, no hay cojones de ninguna forma de situar los bitcoins pagados?
¿Creo que al menos se podía saber a qué país se intuye que fueron no?
Osea, sabiendo las dimensiones me resulta curioso que USA no haya cortado ya un par de cuellos chinos o algo xd
Es que estamos totalmente indefensos ante estos chantajes, no veo manera de meterles mano
#170 Eso es un poco rendirse xD
Si tienes un entorno bien actualizado con los últimos parches de seguridad, con la jerarquía de permisos bien establecida, firewall potente un buen filtro de protección para el correo electrónico y una solución que monitorice los procesos y actividad de red generando perfiles de confianza, una buena política de backups etc. prácticamente solo estás expuesto a 0 Days o ataques muy muy bien dirigidos que son los menos.
Donde curro no somos perfectos ni mucho menos pero tenemos una política definida de actualizaciones y revisiones de parches de seguridad en servidores, un firewall forti bien configurado(nada de RDP abierto) y monitorizado, un servicio de correo que nos garantiza varios tipos de backup y unos filtros supuestamente bastante potentes además de las IOCs actualizadas y un antivirus contrastado aunque personalmente estaría mas tranquilo con una solución a mayores que permitiera monitorizar procesos y crear perfiles (Panda Adaptive defense 360 supuestamente hace eso bien).
#172 si son profesionales (y todo apunta a ello) lo normal es que los bitcoins los dirijan después de darles muuuuchas vueltas por varios nodos a carteras frías de BTC, no las tocarán en años hasta que desvíen la atención sacando otros ataques o movidas así, y eso, aunque si que sería rastreable yo creo que precisa de una cantidad tan ingente de recursos humanos y técnicos que directamente no sale a cuenta.
O si son muy pro directamente tirarán de testaferros en paraísos fiscales (como en el caso de los papeles de Panamá).
#173 Aquí tienes un poco más d einfo: https://www.redeszone.net/2015/12/14/que-es-aes-ni-y-por-que-es-tan-importante-en-los-servidores-nas-domesticos-y-profesionales/
Es curioso como algo que se diseño para mejorar la velocidad de las comunicaciones (implantar cifrado AES por hardware en las CPU) se está utilizando para que los ransomwares sean todavía más voraces y rápidos
xdddd
#175 Es como todo no?, se inventa para un buen fin...y acabando en malas manos...No sé, como la energía nuclear xD.
#174 Tú mismo lo has dicho, incluso en el hipotético caso de la seguridad perfecta, todo bien pensado y hecho (cosa que sabemos nunca pasa) estas expuesto a que te revienten en 1 segundo igualmente xD...
No es que me rinda, es que creo que tenemos que ser realista con lo que nos plantea estos ataques, estas desnudo contra un ataque con exploits en condiciones...
Igual que tu usas esas herramientas los virusitos llevan también exploits o los desactivan cuando escalan permisos en la maquina correcta, etc... Es que yo personalmente no le veo ninguna solución, sólo intentar hacerlo lo mejor posible y rezar que no te toque.
#174Trasno:además de las IOCs actualizadas
Perdón por la ignorancia, pero, ¿qué significa esto? Yo querer aprender.
Edito: Leo la siguiente definición de IOC: la descripción de un incidente de ciberseguridad, actividad y/o artefacto malicioso mediante patrones para ser identificado en una red o endpoint pudiendo mejorar así las capacidades ante la gestión de incidentes. ¿Significa eso que tenéis algún proceso filtrando o buscando estos patrones para detectar amenazas? ¿Qué software usais para tal fin? ¿Esto aplica a servidores de correo, de otra cosa, a equipos de usuario?
Bueno, a mi me han mandado para casa a la espera de esa actualización xD. al menos podré leer el correo de Santander...
#177 Por eso lo que si que hay que tener bien atado es un buen sistema de backups.
El resto es lo de siempre: estar informado al día, parchear, minimizar cuentas con acceso admin, etc... Un 0day siempre te lo van a poder meter.
Pero recordemos que Everis tiene servidores con RDP expuesto y sin parchear. Aquí tiene que dimitir alguien, vamos no me jodas.
