#237 hostia si no es fake es muy wtf xD
De todas maneras, todos tenemos usuarios retrasados en nuestras empresas
Y por mucho dept de seguridad que tengas, algo se te colara
Hoy precisamente algunos de mi depto han recibido un mail chungo pero bastante cutre de alguien de la empresa y le dieron la colleja a los 10 min al infectado xD
#167 No tengo claro como actúa porque nunca lo he visto, pero asumo que el ransomware primero "infecta" a todo el que puede a través de tu red, y luego cuando se "activa" se activa en todos los PC's a la vez.
Aunque un PC en mitad de la encriptación tire del cable y lo apague, es muy difícil que lo hagan todos, y luego habría que ver el fragmento encriptado qué hacemos con él, si es algo que se pueda simplemente borrar, porque además probablemente los backups internos que se puedan tener también tengan el ransomware "durmiente".
#174 el análisis forense de blockchain está avanzadisimo en EEUU
Da igual que uses mixers o prácticamente lo que hagas, te encuentran. Y son empresas privadas muchas veces las que ofrecen los servicios. Me parece que a estos lo que pasa es que les da igual porque están en Bielorrusia o alguna zona de Rusia donde tienen carta blanca
#245 un framework para post-explotación. Basicamente un conjunto de herramientas que se utiliza una vez estás dentro del PC de una red.
Puedes lanzar phishing y otros ataques más sofisticados desde dentro, escalar privilegios y preparar exploits hacia los equipos de la red, pescar credenciales y un largo etc...
Han estado hurgando con eso hasta que han tenido el máximo control de la red, luego han esperado a un domingo de madrugada para lanzar el crypter.
Al menos, así parece ser que ha ocurrido, pero no hay confirmación oficial
#243 en el este de Europa y Rusia esta muy extendido el cybercrimen, los salarios de mierda alli también ayudan a ello.
#247 Y la impunidad, no me jodas.
Yo tuve un negocio oscuro hace muchos años y simplemente poniendo los servers en RU offshore rollo hostkey te garantizaban que jamas iban a tumbarte el server ni identificarte xD
#250 Que se delate y comparta la recompensa, que en MV no se diga que somos insolidarios con el prójimo xD
#249 Todo eso es info no confirmada, lo correcto sería que tú y tus compañeros filtréis info xddd.
Sigo a muchos "malware hunters" por twitter y foros. Gente que trabaja analizando estas mierdas y ataques. Gracias a ellos se ha publicado una copia del ransomware que se ha ejecutado en everis y se ha ido destripando la info de su interior.
Lo del uso de Empire, ni idea de como han llegado a esa conclusión, pero es lo que están comentando diferentes personajes de la scene. Supongo que alguien de Everis habrá filtrado algo y de ahí han sacado la info. Pero como ya digo: no es nada oficial
#252 Cuidado con everis, que son capaces de pedirte que vayas de gratis a parchear el server o dar clases para explicar a sus trabajadores todo lo han estado haciendo mal. 
#253 xdddddddddddddddddddd
Tiene pinta de que tienen un buen cacao. Si han logrado hacer post-explotation, no me extrañaría nada que hayan conseguido pescar credenciales de administrador de dominio y de ahí detener motores de bases de datos, backups y encriptar todo.
#254 Y espérate que mañana toca más de lo mismo, por lo menos a los que no tenemos portátiles... Los que sí que tengan tendran la "suerte" de poder trabajar (si es que se puede) desde casa
Sigue sin saberse cuántas oficinas o delegaciones están afectadas o si es un problema que afecta a toda la empresa?
#257 bastante poco para casos similares en España. En la editorial que comente Antea creo que fueron varios millones lo que pedían.
#252 Yo no tengo info que filtrar, no nos llega a los trabajadores normales y corrientes xD
Yo lo pensé, que quizás el troyano lo metiesen desde dentro...
Yo prefiero decir que no tengo info, que luego la pedis y me poneis en un compromiso .... Pero si puedo decir la palabra Empire como algo verídico, no dire mas
¿ No tienen por ley que realizar un comunicado en cuanto al ataque recibido / estado de los datos de sus clientes ?
¿O esta información sólo se envía confidencialmente a los clientes?
#237 Lo de ahí tiene pinta de Fake...
Poniendo la URL en urlscan.io: https://urlscan.io/result/f0b097b2-cf1b-46da-bdcd-7a22ddbbe752 te manda a change.org, la he pasado por otros analisis y demás y no parece que tenga nada raro...
#265 esos mails suelen tener un link que apunta a otro lugar, ejemplo
De todas formas como no están dando info, podría ser fake o no. Ese pishing es de Didrex
#241 poco phishing has visto, cuanto más cutre, más cae la gente. Es indignante.
#264 si los datos personales de algún cliente se han visto comprometidos, que no es el caso.
A parte, primero hay que identificar qué datos se habrían comprometido y sí, el comunicado se hace a ser posible a los afectados. Y si no recuerdo mal, tienen 72 horas desde que se descubre el incidente, así que de haber pasado aún estarán rascando tiempo.
#266 Yaya, sé que lo cambian y redirige a otro lado, pero normalmente cuando eso es así y lo publican en alguna web, ponen aunque sea a la web a la que apunta con [.]... O tienen la decencia de en la foto de muestra poner el cursor encima para que aparezca la URL real
#263 wow, siempre puedes mandar info por MP y ser otro user que lo suelte.
Así que lo de Empire va cogiendo fuerzas? vaya tela.
Hoy se ha levantado la prensa sensacionalista Argentina, se ve que alguna documentación comprometida de Macri estaba bajo los servers de Everis Argentina y ahora quieren relacionar este ataque con un intento de sabotaje interno para ocultar info sensible.
Vaya películas que se montan. Lo que no me extrañaría que aprovechen el incidente para decir que "los documentos de Macri se han borrado, oh que pena". Pero dudo mucho que esté relacionado.
