La Ser, Everis y otras empresas bloqueadas por ransomware

Shikoku

#237 hostia si no es fake es muy wtf xD

De todas maneras, todos tenemos usuarios retrasados en nuestras empresas

Y por mucho dept de seguridad que tengas, algo se te colara

Hoy precisamente algunos de mi depto han recibido un mail chungo pero bastante cutre de alguien de la empresa y le dieron la colleja a los 10 min al infectado xD

1 respuesta
Seyriuu

#167 No tengo claro como actúa porque nunca lo he visto, pero asumo que el ransomware primero "infecta" a todo el que puede a través de tu red, y luego cuando se "activa" se activa en todos los PC's a la vez.

Aunque un PC en mitad de la encriptación tire del cable y lo apague, es muy difícil que lo hagan todos, y luego habría que ver el fragmento encriptado qué hacemos con él, si es algo que se pueda simplemente borrar, porque además probablemente los backups internos que se puedan tener también tengan el ransomware "durmiente".

Soy_ZdRaVo

#174 el análisis forense de blockchain está avanzadisimo en EEUU

Da igual que uses mixers o prácticamente lo que hagas, te encuentran. Y son empresas privadas muchas veces las que ofrecen los servicios. Me parece que a estos lo que pasa es que les da igual porque están en Bielorrusia o alguna zona de Rusia donde tienen carta blanca

1 respuesta
AikonCWD

Al parecer hay indicios de que hayan usado Empire dentro de Everis, a ver si confirman

1 respuesta
Seyriuu

#244 ¿Qué es Empire?

1 respuesta
AikonCWD

#245 un framework para post-explotación. Basicamente un conjunto de herramientas que se utiliza una vez estás dentro del PC de una red.

Puedes lanzar phishing y otros ataques más sofisticados desde dentro, escalar privilegios y preparar exploits hacia los equipos de la red, pescar credenciales y un largo etc...

Han estado hurgando con eso hasta que han tenido el máximo control de la red, luego han esperado a un domingo de madrugada para lanzar el crypter.

Al menos, así parece ser que ha ocurrido, pero no hay confirmación oficial

1 respuesta
johan_break

#243 en el este de Europa y Rusia esta muy extendido el cybercrimen, los salarios de mierda alli también ayudan a ello.

1 respuesta
SikorZ

#247 Y la impunidad, no me jodas.

Yo tuve un negocio oscuro hace muchos años y simplemente poniendo los servers en RU offshore rollo hostkey te garantizaban que jamas iban a tumbarte el server ni identificarte xD

Seyriuu

#246 ¿De dónde sacas esta info Aikon? Es por pasarla entre compañeros de curro (Soy de Everis).

1 respuesta
X-Crim

No te delates aikon!

1 respuesta
SikorZ

#250 Que se delate y comparta la recompensa, que en MV no se diga que somos insolidarios con el prójimo xD

AikonCWD

#249 Todo eso es info no confirmada, lo correcto sería que tú y tus compañeros filtréis info xddd.

Sigo a muchos "malware hunters" por twitter y foros. Gente que trabaja analizando estas mierdas y ataques. Gracias a ellos se ha publicado una copia del ransomware que se ha ejecutado en everis y se ha ido destripando la info de su interior.

Lo del uso de Empire, ni idea de como han llegado a esa conclusión, pero es lo que están comentando diferentes personajes de la scene. Supongo que alguien de Everis habrá filtrado algo y de ahí han sacado la info. Pero como ya digo: no es nada oficial

2 respuestas
Vandalus

#252 Cuidado con everis, que son capaces de pedirte que vayas de gratis a parchear el server o dar clases para explicar a sus trabajadores todo lo han estado haciendo mal. :rofl:

1 respuesta
AikonCWD

#253 xdddddddddddddddddddd

Tiene pinta de que tienen un buen cacao. Si han logrado hacer post-explotation, no me extrañaría nada que hayan conseguido pescar credenciales de administrador de dominio y de ahí detener motores de bases de datos, backups y encriptar todo.

2 respuestas
Vedrfolnir

#254 Y espérate que mañana toca más de lo mismo, por lo menos a los que no tenemos portátiles... Los que sí que tengan tendran la "suerte" de poder trabajar (si es que se puede) desde casa

B

#254 Cuanto le pedían a Everis?

1 respuesta
AikonCWD

#256 https://bitcoin.es/actualidad/mas-de-1-5-millones-de-euros-en-bitcoin-como-rescate-a-accentur-everis-y-cadena-ser/

750k€ y me parece poco

1 respuesta
ColdZimeh

Sigue sin saberse cuántas oficinas o delegaciones están afectadas o si es un problema que afecta a toda la empresa?

GaN2

#257 bastante poco para casos similares en España. En la editorial que comente Antea creo que fueron varios millones lo que pedían.

Seyriuu

#252 Yo no tengo info que filtrar, no nos llega a los trabajadores normales y corrientes xD

Yo lo pensé, que quizás el troyano lo metiesen desde dentro...

1 respuesta
GuaNaGe

#260 Yo trabajo en Everis Sevilla. ¿Tú?

1 respuesta
Seyriuu

#261 Barcelona, pero estoy en oficinas de cliente

mongui

Yo prefiero decir que no tengo info, que luego la pedis y me poneis en un compromiso .... Pero si puedo decir la palabra Empire como algo verídico, no dire mas

2 2 respuestas
B

¿ No tienen por ley que realizar un comunicado en cuanto al ataque recibido / estado de los datos de sus clientes ?
¿O esta información sólo se envía confidencialmente a los clientes?

1 respuesta
BreadFace

#237 Lo de ahí tiene pinta de Fake...

Poniendo la URL en urlscan.io: https://urlscan.io/result/f0b097b2-cf1b-46da-bdcd-7a22ddbbe752 te manda a change.org, la he pasado por otros analisis y demás y no parece que tenga nada raro...

1 respuesta
AikonCWD

#265 esos mails suelen tener un link que apunta a otro lugar, ejemplo

www.hotmail.com

De todas formas como no están dando info, podría ser fake o no. Ese pishing es de Didrex

1 respuesta
ruonory

#241 poco phishing has visto, cuanto más cutre, más cae la gente. Es indignante.
#264 si los datos personales de algún cliente se han visto comprometidos, que no es el caso.
A parte, primero hay que identificar qué datos se habrían comprometido y sí, el comunicado se hace a ser posible a los afectados. Y si no recuerdo mal, tienen 72 horas desde que se descubre el incidente, así que de haber pasado aún estarán rascando tiempo.

BreadFace

#266 Yaya, sé que lo cambian y redirige a otro lado, pero normalmente cuando eso es así y lo publican en alguna web, ponen aunque sea a la web a la que apunta con [.]... O tienen la decencia de en la foto de muestra poner el cursor encima para que aparezca la URL real

AikonCWD

#263 wow, siempre puedes mandar info por MP y ser otro user que lo suelte.
Así que lo de Empire va cogiendo fuerzas? vaya tela.

Hoy se ha levantado la prensa sensacionalista Argentina, se ve que alguna documentación comprometida de Macri estaba bajo los servers de Everis Argentina y ahora quieren relacionar este ataque con un intento de sabotaje interno para ocultar info sensible.

Vaya películas que se montan. Lo que no me extrañaría que aprovechen el incidente para decir que "los documentos de Macri se han borrado, oh que pena". Pero dudo mucho que esté relacionado.

2 respuestas
challenger

#263 ssheiiiittttt