Totalmente de acuerdo con #505. Las películas que se está montando la gente son geniales para una serie, pero no se acercan a la realidad.
Hace dos semanas vi un episodio de Chicago Med y les metían un ramsonware en la red informática del Hospital.
#510 ¿Que nadie sabe el alcance del exploit? Acabo de comentarte que el exploit está documentado, que hay una actualización de Microsoft que lo bloquea desde hace más de un mes, y que se realizó una prueba de concepto mostrando su viabilidad en un entorno real el día 9 (hace 3 días vaya).
Por otro lado, comentas que si lo han programado en 3 días y demás cuando ya te he explicado que es una modificación de otro ransomware existente, no es algo nuevo hecho de cero.
Que no digo que lo haya hecho un scriptkiddie en una tarde pero vaya, que no es nada imposible ni extremadamente complicado tecnológicamente hablando.
#513 #514 Os cuento lo más gracioso del asunto.
Un software de realización televisiva (con lo que se prepara y monta el vídeo que se va transmitiendo vaya), tiene un plugin, que se encarga de recoger tweets con un determinado #hashtag y utilizar sus imágenes como fondo para una escena.
Un compañero y amigo mediavidero, Chesko, héroe de aquí en adelante, tweetea con toda su buena intención una foto con el hashtag #Telefonica en ella:
El plugin, que funciona sin filtrado ninguno, ¿que hace? pues "Oh! Una imagen con el hashtag que estoy buscando, la meteré en mi repositorio de imágenes de fondo para la noticia de #Telefonica."
Y el resto, os lo podéis imaginar
#508 vaia un jaker, me has pillado
#515 Nono me he explicado mal, lo que quiero decir es que lo que no se sabe con certeza son los equipos que ha podido infectar.
Y he dicho lo de los 3 días por que me has dicho que se publico hace 3 días y solo te he puesto un ejemplo, que aunque solo tuviesen 3 días, con lo sencillo que es les hubiese dado tiempo, a ser una bomba lógica no pero a infectar una lan desde luego no crees ?
Una pregunta, al ser tantas empresas afectadas significa que en todas individualmente alguien con un pc desactualizado ha abierto el correo o lo que fuera con el ramsom, no?
#520 Es que eso es lo que no se sabe aún, pero todo apunta a que ha debido de ser algún tipo de gusano/troyan autoreplicativo.
Es decir, aquí ya te hablo de suposiciones mías, el proceso ha tenido que ser algo como:
1) Infecto una máquina a través del exploit.
2) Desde esa máquina, veo que otras máquinas tengo a mi alcance y vulnerables.
3) Me replico a estas máquinas y empiezo el mismo proceso que acabo de hacer.
4) Una vez que ya no me puedo extender más, empiezo a encriptar.
De esta forma tienes una expansión muy rápida y el único modo de pararlo es, o actualizar, cosa que lleva tiempo y pone en peligro más equipos, o apagar todo y cuando estén controlados los focos de infección ir levantando toda la infraestructura poco a poco (que es lo que se ha hecho).
#517 Debería, pero no es la primera vez que pasa, acordaos la vez aquella con el hashtag de #MiTerritorioEsDiscovery, los vídeos que aparecieron en la página oficial.
#525 Lo que yo no entiendo es: encriptar un disco duro entero necesita tiempo. ¿Nadie se ha dado cuenta?
#526 Eso es cierto, pero hay varios factores a tener en cuenta.
Lo primero, pensamos en equipos como en nuestros equipos de casa, llenos de archivos gigantes de películas, juegos, isos, con cientos o miles de gb ocupados. La mayoría de PCs de oficina, suelen tener el 90% del disco duro vacío, y guardan pocos recursos localmente, archivos word/excel/pdf y cosas así, que se encriptan en un momento.
Luego, los rasomware se han ido mejorando mucho con el tiempo, ahora respetan muchos directorios críticos para el sistema, de modo que el equipo funciona bastante bien hasta que todos los ficheros interesantes están encriptados.
Y por último, tenemos el problema de las carpetas compartidas. Ya no es que se encripte el contenido del equipo, es que si tiene una unidad montada, y hay 3 o 4 equipos infectados con ella, tienes 3-4-X equipos encriptando documentos y datos a los que tienen acceso en un servidor remoto.
A tenido que ser en viernes. Con las vacaciones que se podrian haber pillado muchos si hubiera sido un lunes
Por gente de chile les ha llegado el ataque a sus tierras. Les va a caer una a timofonica que te cagas.
En mi empresa nos ha llegado un correo de que ha sido infectada un cliente y por motivos de seguridad cerremos la conexion VPN con ellos.
Menudo show por dios XD
No se si se habrá puesto ya pero mapa con afectados: https://intel.malwaretech.com/botnet/wcrypt y nº de equipos.
#539 Y los africanos... Si tuvieran ordenadores claro.
Vale, ya he hecho la gracieta del día. Buenas noches.
