Víctimas de Ransomware ahora - y demás

[DdmrDdmr]

Acabo de ver en las noticias que la Cadena Ser y Everis han sido víctimas de ransomware/cryptolocker. No está claro si Accenture lo ha sufrido también, dado que he leído noticias contradictorias al respecto, y tambien he visto citado a KPMG en algún artículo.

En el caso de Everis, sus empleados han recibido el siguiente comunicado:

“[Grupo everis] Estamos sufriendo un ataque masivo de virus a la red de everis. Por favor, mantengan los PC’s apagados. Se ha desconectado la red con clientes y entre oficinas. Les mantendremos informados. Por favor, trasladen urgentemente el mensaje directamente a sus equipos y compañeros debido a los problemas de comunicación estándar.”

Por su parte, la cadena Ser ha tenido problemas en sus emisiones ordinarias en lo que va de jornada.

En cuanto a los montantes solicitado del rescate, hay voces que indican que se pide 1,5M en España al Grupo Prisa, y 0,75M a Everis, todo en Bitcoin. Lo anterior son cifras preliminares, y se estima que pueden estar pidiendo mucho más …

Estas compañías tienen protocolos de seguridad informática elevados, por lo que si a éstas les sucede, lo mismo puede sucederle a una gran gama de empresas que carecen de estos protocolos y equipos dedicados a la seguridad.

Ver:
https://bitcoin.es/actualidad/everis-se-encuentra-sufriendo-un-hackeo-cryptografico
https://bitcoin.es/actualidad/mas-de-1-5-millones-de-euros-en-bitcoin-como-rescate-a-accentur-everis-y-cadena-ser/

[1714109206]

1714109206

[1714109206]

1714109206

[1714109206]

1714109206

[1714109206]

1714109206

[LUCKMCFLY]

Wow la verdad me sorprende, porque es una empresa de consultoría muy famosa, sus estándares de seguridad deberían ser muy altos, pero al ver que tenían como Antivirus el McAfee es totalmente entendible que hayan podido perpretar el ataque, ese antivirus en realidad es bien malo, este tipo de empresas deben tener al menos dos antivirus compatibles para no dejar pasar este tipo de ataques.

Los ataques se han incrementado con gran relevancia a pesar que el precio de Bitcoin sigue estando en un nivel algo lateral, muchos afirman que bajará de precio, pero esto seguirá propagándose y más cuando el precio de Bitcoin aumente. El caso del ataque en  Johannesburgo no dieron detalles de qué Antivirus estaban usando, pero debido a esto, creo que deberían  invertir más en seguridad, ya se ha hecho moda este tipo de ransomware.

[seoincorporation]

Siempre que leo este tipo de noticias me gusta ponerme a pensar en como se desarrolló el ataque... lo que queda claro es que el atacante vulnera una computadora de la empresa para después infectar la red local. Digamos que un empleado se encuentra una USB tirada en el suelo afuera de la empresa y decide ver su contenido su computadora de trabajo, ya pueden imaginar el resto. La infección de la red lo cal se puede hacer con armitage si los equipos de la empresa usan sistemas operativos viejos o desactualizados...

El punto aquí es que hay muchas empresas que siguen sin tomar las debidas medidas de seguridad simplemente por ahorrar costos o por ignorancia...

[DdmrDdmr]

Veo que sigue habiendo bastante lio en foros diversos donde están hablando del tema. Hay más empresas afectadas, pero no lo confirman.

Sea como fuere, no es nada sencillo tenerlo todo controlado e infranqueable. Hay corporaciones que encriptan sus discos duros de por sí (para proteger la información albergada), e incluso deshabilitan los puertos USB.

A su vez, llevar los sistemas operativos y software de telecos a la última actualización no siempre es factible, dado que es habitual dar un par de meses cuanto menos para que las vulnerabilidades y problemas que surgen con cada actualización se resuelvan/estabilicen. Luego, además, has de estar seguro de que las actualizaciones no afecten a tu entorno operativo por alguna incompatibilidad.

BlueKeep parece estar confirmado como un vector de ataque. Bluekeep se detectó en Mayo 2019, y es una vulnerabilidad de Microsoft que facilita el ataque al protocolo RDP (escritorio remoto), a lo cual son más vulnerables los sistemas operativos más antiguos como Windows 7.

En alguno de los posts que he leído hoy en otro foro, indicaban como una posible puerta de entrada (sin confirmar) una vulnerabilidad en Microsoft Teams, una herramienta para realizar reuniones/videoconferencias y compartir documentos visualizados.


Ver: https://blog.avast.com/es/what-is-bluekeep

[VB1001]

Esta mañana en la ser Cataluña a cada momento decían que tenían problemas con el sistema informático, pero en ningún momento han dicho de que se trataba, ya veo...

[LUCKMCFLY]

Según este Ransonware se llama Ryuk y es desarrollado por el grupo de hackers rusos Grim Spider.

Según el ánime de la Death note, representa a este personaje:



la serie animada es muy buena en realidad, Ryuk representa a la muerte en cuyo cuaderno el nombre que escriba de una persona, ésta muere.

El modus operandi de Ryuk es muy parecido a otros ransomware, ya que puede difundirse gracias a troyanos escondidos en correos electrónicos. Asimismo, una nueva versión del malware puede propagarse por sí mismo utilizando las redes privadas de las empresas. Para ello posee un archivo conocido como Wake on LAN (WoL) que permite activar ordenadores si reciben una orden remota, expandiéndose así de una forma más rápida y silenciosa.

Es un virus muy potente y es actualizado constantemente por los hackers para destruir parches de seguridad, es muy usado en campañas, puede que dañe los archivos infectados y no vuelvan a funcionar más.

Lo más triste es:

El especialista en ciberseguridad apunta que este tipo de ransomware es muy difícil de desencriptar por cuenta propia, por lo cual en la mayoría de los casos se tiene que pagar un rescate. «Tienes que pagar o perder. Debes analizar todo lo que te han robado, ver las consecuencias y decidir»

En este tweet de Alex Barredo( Experto en ciberseguridad ):

Looks like
@everis
 has been completely hacked? All employees must turn off their computers. Looks like another ransomware attack hitting Europe. Ugh.

Traducido:

Parece
@everis
 ha sido completamente hackeado? Todos los empleados deben apagar sus computadoras. Parece otro ataque de ransomware que afecta a Europa. Ugh

Foto tomada por un trabajador de Everis.
Fuente: @somospostpc

El virus es altamente lucrativo y silencioso.

se han reportado pagos mínimos de 1,5 BTC para desencriptar archivos y un monto máximo de 99 BTC por empresa.

Fuente:https://www.criptonoticias.com/seguridad/malware/ryuk-ransomware-criptomonedas-empresas-instituciones-espana/

Vaya que para esto si que hay mucho ingenio, la verdad es un virus bien difícil para sacar, al parecer están en manos de los hackers completamente.

[seoincorporation]

No se que están esperando las empresas para empezar a usar linux, Estoy seguro de que este problema no existiría si las empresas acogieran Ubuntu o Fedora como su sistema operativo principal debido a que para instalar un programa es obligatorio ingresar la contraseña de Root.

[LUCKMCFLY]

No se que están esperando las empresas para empezar a usar linux, Estoy seguro de que este problema no existiría si las empresas acogieran Ubuntu o Fedora como su sistema operativo principal debido a que para instalar un programa es obligatorio ingresar la contraseña de Root.

Pues eso debería ser lo ideal colega, lo que pasa es que cuando le hablas a las personas, funcionarios acerca de Linux hay cierto rechazo, pues no les gusta  la idea de aprenderse los códigos, algunas palabras para ejecutar los comandos, están muy acostumbrados a los ambientes amigables gráficos como los tiene Microsoft, representaría un gasto para las empresas para dar capacitación a los trabajadores, aunque es lo ideal, es mejor invertir en capacitación para sus trabajadores que pagar un Antivirus, la mayoría lo ven como un esfuerzo y puede que tiendan a ser renuentes a ello, en 2012 trabajé en una empresa como Ingeniero de Soporte para equipos médicos Konica Minolta, y en un momento se propuso que cambiaran todos los sistemas operativos a Linux y nunca vi tanta gente tan unida en decir que no, era increíble, sólo algunos pocos dijeron que si y eran aquellos técnicos e Ingenieros que habían visto Linux en la Universidad como parte de su formación.

Pero asistentes, secretarias, gerentes de compras y ventas, los vendedores no les agradó la idea, a pesar que se les comentó todos los beneficios, que en un momento podrían trabajar bajo ciertos esquemas gráficos, pero el rechazo fué de inmediato, pienso que hoy día el rechazo sigue igual o tal vez un poco menos, pero es tratar de inculcar una cultura técnica necesaria a los trabajadores, lo mejor es que se tome como premisa exigir a aquellos aspirantes a entrar a los trabajos que sepan Linux o que sean capaces de aprender por su cuenta y que poco a poco vayan implementándolo de esa manera, y obviamente se debería comenzar por la parte técnica y de Ingeniería, luego tratar de dar algunos incentivos monetarios a aquellos trabajadores que comiencen a usar el Sistema Operativo, sería una forma suave de comenzar con ello.

[th3nolo]

No se que están esperando las empresas para empezar a usar linux, Estoy seguro de que este problema no existiría si las empresas acogieran Ubuntu o Fedora como su sistema operativo principal debido a que para instalar un programa es obligatorio ingresar la contraseña de Root.

Todo por la "simplicidad" de windows, creo que las empresas solo aprenderán luego de pagar un alto precio por perder todos sus archivos es algo que debe pasar y paso.

Por el lado de los hackers entiendo su razón de solicitar Bitcoins y no otra criptomoneda anónima tipo monero/zcash, y es que los usuarios promedio no saben cómo hacer uso de ellas.

[LUCKMCFLY]

Bueno al parecer ya están descubriendo cómo se pudo haber infectado y fué a través de un simple correo electrónico y éste infectó a todos los equipos Everis

Por otro lado, a través de nuestras fuentes internas, se nos ha facilitado el mail que presumiblemente infectó todos los equipos de Everis. Parece mentira que un mail tan surrealista pueda tener un impacto tan grande.

Aún el problema no ha podido ser resuelto.

Fuente: https://bitcoin.es/actualidad/se-filtra-el-mail-que-infecto-a-todo-everis/

Algunos métodos para tratar de desencriptar y buscar desinfectar han traído falsas alarmas, pues el parche simula haber creado nuevo virus pero es parte de la misma praxis al aplicar una actualización para fixear los equipos.

Fuente: https://bitcoin.es/actualidad/ha-vuelto-a-pasar-nuevo-ataque-a-everis/

[th3nolo]

snip

PÁNICO, yo siempre que veo links en los correos primero utilizó el escáner de url de virustotal claro esto no asegura que un link sea totalmente seguro pero al menos elimina muchos ataques ya neutralizados.

Para los que no saben que es virustotal, es una página web que se encarga de analizar ficheros, urls en busca de posibles ataques, virus. ect.

https://www.virustotal.com/gui/home/url

[DdmrDdmr]

<…>

Yo también soy de los habituales en usar VirusTotal para el escaneo de páginas y enlaces. No es 100% garantía de nada, sobre todo si uno es de los primeros en encontrarse con un foco infectado, pero es un paso previo necesario.

Destacar que cabe revisar ambos conceptos: la página web y los enlaces contenidos en caso de interesarse por alguno. No es infrecuente que alguien pase VirusTotal por la página, ésta retorne resultados limpios, pero los enlaces individuales si salten la alarma. No sé si esto es habitual o transitorio (positivos sobre enlaces escalan a la página al cabo de un rato), pero si lo he visto suceder.

Otra cosa que hago habitualmente es abrir entornos a validad desde el navegador Opera, con su vpn activado (que es un proxy realmente). Más que nada para que la IP de acceso no sea la mia real (que tampoco lo es, al usar una vpn de por sí).

[th3nolo]

<…>

Yo también soy de los habituales en usar VirusTotal para el escaneo de páginas y enlaces. No es 100% garantía de nada, sobre todo si uno es de los primeros en encontrarse con un foco infectado, pero es un paso previo necesario.

Destacar que cabe revisar ambos conceptos: la página web y los enlaces contenidos en caso de interesarse por alguno. No es infrecuente que alguien pase VirusTotal por la página, ésta retorne resultados limpios, pero los enlaces individuales si salten la alarma. No sé si esto es habitual o transitorio (positivos sobre enlaces escalan a la página al cabo de un rato), pero si lo he visto suceder.

Otra cosa que hago habitualmente es abrir entornos a validad desde el navegador Opera, con su vpn activado (que es un proxy realmente). Más que nada para que la IP de acceso no sea la mia real (que tampoco lo es, al usar una vpn de por sí).

Otra forma de asegurar tu computadora es usar un SO tipo QubesOS, ya que permite seperar la mayoria de las aplicaciones de SO en formas de una computadora virtual.

O bueno entornos virtuales separados.

[DdmrDdmr]

Si miramos el informe de BleepingComputer de esta semana, es para empezar a asustarse de la cantidad de variantes de ransomware que se van produciendo:
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-november-8th-2019-now-targeting-passwords

Cada dia se descubren casos y variantes distintos. En términos de empresas de renombre, la matriz de Billabong y QuickSilver, Boardriders, fue afectada ayer, obligándoles a cerrar sus sistemas informáticos a nivel mundial.

[th3nolo]

Si miramos el informe de BleepingComputer de esta semana, es para empezar a asustarse de la cantidad de variantes de ransomware que se van produciendo:
https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-november-8th-2019-now-targeting-passwords

Cada dia se descubren casos y variantes distintos. En términos de empresas de renombre, la matriz de Billabong y QuickSilver, Boardriders, fue afectada ayer, obligándoles a cerrar sus sistemas informáticos a nivel mundial.

Que locura, el reloj cada vez suena más rápido avisándome que tengo que cambiar de SO, y.. migrar mi base de datos 😥. En fin tenía entendido que había pocas variantes. ¿Es esta una nueva etapa dorada del Ramsonware?

[DdmrDdmr]

Como es habitual, la resolución de estos casos se lleva con cierto secretismo, y no es infrecuente carecer de un seguimiento de su resolución. En el caso de la Cadena Ser, ayer estuve leyendo este artículo que desvela las vicisitudes derivadas de tener que operar sin el sistema informático habitual, tirando de cassettes, cds para los testimoniales de archivo, y realizando programas a capella: https://www.elconfidencial.com/tecnologia/2019-11-09/hackeo-ser-ramsomware-forma-de-trabajar-emision_2317743/

Hay una parte significativa cerca del final del artículo, que indica que "la SER ya tiene una vacuna contra el virus Ryuk”. Primero pensé que era una "vacuna" ante futuros ataques de esta índole, a expensas de ver cómo acaban de resolver éste. No obstante, citan que "necesitas que el técnico esté presencialmente, lo aplique a cada equipo afectado, vea los daños, calcule si se ha perdido algo y si se puede recuperar". Es decir, da la sensación de que han encontrado la manera de desencriptar los discos, en colaboración con el Centro Criptológico Nacional y el Instituto Nacional de Ciberseguridad. Si es así, querría decir que el método de encriptado del Randsomware no sería tan bueno como uno esperaría.

[paxmao]

Lo de la SER lo confirmo. Estaba escuchando un programa sobre cantos de pajaros y no pudieron reproducir las grabaciones... Los locutores no sabían ni que hacer ya jajaj

.... Si es así, querría decir que el método de encriptado del Randsomware no sería tan bueno como uno esperaría.

Si es que ya cualquiera se pone a hackear por vicio... no hay profesionalidad ninguna. 

[LUCKMCFLY]

Ahora hay otra variación de Ransomware, llamada  AnteFrigus, ahora no se dirige a la unidad C, va a otras unidades asociadas a dispositivos extraíbles y unidades de red mapeadas.

El RIG explotar usos del kit scripts maliciosos alojados en sitios o en peligro de propiedad atacante que aprovechan las vulnerabilidades en Internet Explorer. Si estas vulnerabilidades pueden ser explotadas, que a continuación se instalará una carga útil de la máquina del visitante sin su conocimiento.
El RIG explotar usos del kit scripts maliciosos alojados en sitios o en peligro de propiedad atacante que aprovechan las vulnerabilidades en Internet Explorer. Si estas vulnerabilidades pueden ser explotadas, que a continuación se instalará una carga útil de la máquina del visitante sin su conocimiento.

Se cree aún que este tipo de ransomware está en modo de desarrollo y pruebas porque no se muestra directorio hacia la unidad C, sin embargo en algún momento la crea.



Y finalmente:



Fuente: https://www.bleepingcomputer.com/news/security/strange-antefrigus-ransomware-only-targets-specific-drives/

Más variaciones de este Ransomware, la verdad están imponiéndolo como moda ya, se debe tener mucho cuidado...

[LUCKMCFLY]

Los ataques por Ransomware han seguido, ahora hasta tienen El Paraíso del Hacker...

Al menos dos ciudades de Florida y el Consejo Judicial de Georgia y la Oficina Administrativa de los Tribunales también fueron golpeados por ataques de “Triple Amenaza”. Según el testimonio del Suboficial de Información Neal Underwood ante el Comité Legislativo Conjunto de Presupuesto de la legislatura de Louisiana, solo el 10% de los 5,000 servidores del estado se vieron afectados por el ataque del ransomware, y un total de aproximadamente 1,500 computadoras de los 30,000 sistemas del estado fueron “Dañadas” por el ransomware.

Estos ataques han dado muy duro a los sistemas informáticos, y está lejos de solucionarse, al parecer la capacidad de solución es limitada...

https://cryptocurrencyprofits.com/noticia/el-paraiso-del-hacker-el-desastre-del-ransomware-de-louisiana-esta-lejos-de-terminar-2/

Es un pequeño artículo, donde enfatizan los ataques Ransomware y como está causando estragos aún, los sistemas más vulnerables son los que tienen en su poder, algunos no han entendido que deben darle prioridad de seguridad a sus empresas en seguridad informática, perder archivos importantes no es nada agradable.

[th3nolo]

Los ataques por Ransomware han seguido, ahora hasta tienen El Paraíso del Hacker...

Al menos dos ciudades de Florida y el Consejo Judicial de Georgia y la Oficina Administrativa de los Tribunales también fueron golpeados por ataques de “Triple Amenaza”. Según el testimonio del Suboficial de Información Neal Underwood ante el Comité Legislativo Conjunto de Presupuesto de la legislatura de Louisiana, solo el 10% de los 5,000 servidores del estado se vieron afectados por el ataque del ransomware, y un total de aproximadamente 1,500 computadoras de los 30,000 sistemas del estado fueron “Dañadas” por el ransomware.

Estos ataques han dado muy duro a los sistemas informáticos, y está lejos de solucionarse, al parecer la capacidad de solución es limitada...

https://cryptocurrencyprofits.com/noticia/el-paraiso-del-hacker-el-desastre-del-ransomware-de-louisiana-esta-lejos-de-terminar-2/

Es un pequeño artículo, donde enfatizan los ataques Ransomware y como está causando estragos aún, los sistemas más vulnerables son los que tienen en su poder, algunos no han entendido que deben darle prioridad de seguridad a sus empresas en seguridad informática, perder archivos importantes no es nada agradable.

Ayer, precisamente vi en un tweet de verdades de las industrias que todos saben, pero callan porque son destructivas para esta, donde un Investigador de Seguridad informática dijo, la mayoría de los programas actuales closed source, tienen algún tipo de fallos que pueden ser explotados por personas con algo de conocimiento de redes y programación, de ser así estaríamos jodidos.

Me pregunto si tendría razón o estaría exagerando, aunque el mal uso de las computadoras es el causante de este tipo de infecciones en computadoras gubernamentales, donde la vulnerabilidad más grande son las personas.