#180 A mi me preocupa que perdamos ciertos contratos y no, no es broma... Esto te deja con el culo muy al aire y tu credibilidad por los suelos
#180 Y esperar que el virusito no te joda las backups también, que por lo visto lo primero que hace es zamparse toda backup que encuentre, pero sí, más allá de hacer las cosas bien y rezar no hay nada...
Y bueno, me río yo de la seguridad de las consultoras grandes xdddddddddddddddd
#178 Las IOCs para este caso no sirven, ya que ha sido dirigido (el ransomware encripta con extensión 3v3r1s), así que las IOC de fichero no servirán.
Normalmente se comparte el hash y direcciones DNS que usa el malware, se añade el hash/Yara-rule al antivirus perimetral y los DNS que contengan el C2 del malware al firewall.
#181 amén, a ver en qué queda todo.
#177 Pero eso ha sido así de toda la vida en el ámbito de la seguridad, no solo informática, es el eterno juego del gato y el ratón. De todos modos, en la mayoría de casos con una buena política de Backups con copias deslocalizadas no te librarás del ataque pero si que en la inmensa mayoría de casos evitarás el rescate perdiendo las horas de diferencia con la copia de seguridad deslocalizada (esto no vale para todos los casos pero si para la mayoría desde mi punto de vista).
#180 se come las shadowcopies y demás copias locales que detecte, pero por ejemplo, lo que yo tuve montado muchos años hasta que virtualizamos casi todo y se metió pasta en seguridad, era un clon del servidor de archivos principal en otro edificio con una simple tarea programada que habilitaba y des-habilitaba la tarjeta de red para que se hiciera un volcado semanal de todo el server principal (con copia incremental). Eso me "garantizaba" que a menos que el ataque ocurriera en el tiempo que duraba el volcado de datos tenía la garantía de que como máximo se perdería el curro de una semana, lo cual es crítico pero no el fin del mundo en mi caso.
#178 Aquí lo explican bastante bien, como resumen por encima, una IOC es el patrón del ataque, conocerlo te sirve para implementar las medidas antes de que llegue a tu red (explicado muy por encima)
Investigando he encontrado lo siguiente:
Indicadores de Compromiso (IOCs)
NO hay evidencia que se trate de BlueKeep (CVE-2019-0708)
Hash FileHash-SHA256
8a87a1261603af4d976faa57e49ebdd8fd8317e9dd13bd36ff2599d1031f53ce
037dbddeda76d7a1be68a2b3098feabfbf5400a53e2606f5a0e445deb2e42959
IPs
5[.]100.251.106
109[.]176.117.11
URL
hxxp://109[.]176.117.11/362611986ed4/page
hxxp://109[.]176.117.11:8000/
hxxp://109[.]176.117.11:8080/362611986ed4/page
hxxp://5[.]100.251.106:52057
hxxp://5[.]100.251.106:443/64.exe
Email
sydney.wiley[@]protonmail.com
evangelina.mathews[©]tutanota.com
Aunque tiene pinta que están relacionadas con BlueKeep y la infección del cryptominer de monero en Alemania más que de lo que ha sucedido.
#186 https://blog.segu-info.com.ar/2019/11/varias-empresas-infectadas-con.html?utm_source=dlvr.it&utm_medium=twitter
Además: https://twitter.com/ThierryFranzett/status/1191677405389299712
En teoría han subido un sample (no se sabe si real o no) del fichero a VT y a app.anyrun, de ahí también se pueden sacar IOCs (En caso de que sea cierto)
#187 el primer link no me cuadra, casi que lo descarto. Esos hashes son de un miner bastante antiguo. El segundo link de twitter pinta mucho mejor.
aquí lo normal en empresas tochas es tener: backups en 1 sitio, copias de esos backups en otro sitio (normlamente países diferentes), precidimientos de disaster recovery a la orden del día.
Me resultaría muy difícil que una empresa de este estilo tenga problemas con estos temas. Si se te va el entorno a la mierda pues a recuperar de backups.
Obviamente lo normal es tener los backups en servidores dedicados: datadomain, netapp, etc.
E incluso multitud de. empresas todavía guardan en cintas y las guardan físicamente desconectadas de. todo
#188 Los IOCs del primer link son los de: https://doublepulsar.com/bluekeep-exploitation-activity-seen-in-the-wild-bd6ee6e599a6 de hace 3 días, aunque el miner sea mas antiguo.
En cuanto al segundo link de twitter..., mirando los IOCs del anyrun salen IP's locales y cosas bastante extrañas
#190 utiliza enumeración por ARP, de ahí las IPs locales. El de any.run me parece una copia del bicho, al menos hace todo lo que he ido leyendo (elevación usando eventvwr, etc...)
edit: definitivamente el link de any.run es una copia del ransom que ha atacado a Everis
#192 me los imagino en un trastero rodeados de impresoras viejas haciendo la haka alrededor de una hoguera de portátiles. Todo muy rollo MadMax
Pues ayer leí en un comunicado o en algún lado (no recuerdo honestamente) que Everis decía que había habido 0 afectación
Así que yo no sé hasta que punto fiarme en general de la info que vemos, tenemos hechos confirmados o alguna noticia que realmente de info y no 3 parrafos mal hechos?
#194 Y que van a decir? Si han perdido información intentarán ocultarlo para no perder clientes
#196 Sí, si eso está claro, lo que digo es que entre las noticias que lo afirman sin prueba alguna y la propia empresa que lo niega no tenemos más información y esa es mi pregunta:
¿Tenemos información contrastada/confirmada sobre algo? Lo de la SER lo doy por obvio, ellos mismos lo dijeron en directo.
#194 #197 Han recibido un ataque dirigido, con un ransomware compilado especialmente para everis.
El grupo que lo ha provocado es conocido por atacar grandes empresas provocando el máximo daño posible.
Daño ha sufrido, eso es innegable ya que han circulado screens de PCs de empleados con ficheros encriptados... el número exacto? Ni lo sabemos ni lo sabremos. A lo mejor solo han infectado un departamento en una de sus oficinas. O a lo mejor han infectado 7 oficinas enteras. Eso no lo vamos a saber y el comunicado oficial (si lo emiten) evidentemente intentará minimizar el impacto y la mala imagen.
Solo nos queda lo que nos puedan contar empleados de Everis.
Pero vamos, que han llegado a entrar (teniendo RDPs expuestos) y que han ejecutado un payload dirigido... eso es innegable.
Me comenta alguien de Everis que hoy les han hecho ir a la oficina a conectarse a una red para actualizar equipos y tal y como han terminado que se vayan para casa de nuevo xD
Cabrones con suerte
#199 Si, tengo varios compañeros que han ido personalmente a la oficina, se han conectado al wifi (dicha red no tiene salida a internet por motivos obvios), se han descargado los parches de manera automática y se han ido a casa. Les han dicho que en la tarde habría acceso a internet en la oficina pero aun asi les han dicho que se fueran. Lo que no se es que sucederá mañana
#201 quiero pensar que solo han afectado a X equipos y que por seguridad Everis ha chapado todo y ha mandado a todo el mundo a casa+actualizar equipos... aunque eso nos lo confirmaréis vosotros cuando volváis a la oficina, a ver hasta dónde ha llegado el impacto
#202 Principales vectores de entrada y spread: RDP, Teams, iTunes, Chrome. Si está en tu mano (o es tu responsabilidad), actualiza esas cosas
#203 Yo desde ayer llevo en casa trabajando todo offline pero skype y otras apps no funcionan con las credenciales, por, de nuevo, motivos mas que obvios. La gente ayer que fue, se regreso sin poder hacer nada y ahora que ya esta claro que ha pasado, imagino que vendrá la recuperacion, lo que no se es cuanto tiempo t tomará ni el alcance del mismo
MS tendría que ser más duro con esto y hacer algo en plan: si no actualizas no hay servicio y punto.
En muchos apartados de O365 es así y es que si no el cliente no aprende. Te dicen que si wserver 2008 funciona bien y que no lo van a actualizar.
Lo mismo con servidores de exchange híbridos con versiones antiguas y el ad connect sin actualizar desde ni se sabe y así...
Con palos se aprende.