La Ser, Everis y otras empresas bloqueadas por ransomware

B

#659 Sí, pero yo hablo de las garantías.

Los freelance o te salen buenos o malos, y el mejor freelance va a ser mejor que la mejor consultora porque se va a pelar el culo porque todo salga y te lo dejará todo limpio y aseado a precio de ganga.

El problema es que el día que no esté y no haya un traspaso correcto de la información... o tienes a un crack que sepa retomar lo que dejó o en el peor caso (Que de estos me he encontrado mucho) te deja un pantano sin documentar que te da miedo hasta apagar una calculadora que está en el comedor debajo del microondas porque "el freelance la dejó ahí..."

(... y quitas la calculadora y se te paran todas las máquinas porque la cabina deja de servir ISCSI)

Con las consultoras si les apretas siempre va a haber alguien que sepa qué hizo pepito y sepa mandarte algún documento o puedan ayudarte. (Si no te coges a la consultora del primo de tu pueblo que son 3 gatos que montan wifis)

1 respuesta
SikorZ

#660 Así al menos evitas escalada por fallos en hardware, ¿no?

Si la arquitectura y hardware que usas es virtualizado esquivas eso en un buen grado (no total, supongo, al final podrías atacar el chipset si sabes exactamente cual es el real supongo

#661 Un freelance te puede dejar tirado, una compañia de estas si tiene que entrar en pérdidas porque se ha liado entrará, porque puede permitirselo y al final es el por qué las cogen...

(Veo que estamos de acuerdo)

1
Shikoku

#660 No se de donde sacas lo de que es emulacion :thinking:

HyperV es como VMWare, un hypervisor, colocado encima de hardware y en el montas VMs a tu antojo. Que la estructura es algo diferente ok, pero de ahi a decir que uno emula y el otro virtualiza...

Primera vez en la vida que escucho/leo que hyperV es un emulador

2 respuestas
RusTu

Por lo que se ha visto en el programa de hoy de La Vida Moderna, en la SER seguían igual xD.

B

#660 Si con VMware se tuviera acceso directo a la GPU de alguna forma podría colarse un virus/troyano? xD

1 respuesta
SikorZ

#665 Si tienes acceso al hardware y éste tiene un exploit conocido y sabes que es ese sí.

Pero es algo relativamente improbable y díficil que suceda, pero puede.

Por ejemplo la Nintendo Switch tiene un bug en la versión del FW del procesador y gracias a eso y escalada de permisos a la hora de ejecutar codigo se consigue aceso total a la consola.

Es prácticamente el peor caso, si no cambias el hardware no puedes arreglarlo ya que las ROMs que llevan con el FW no son sobreescribibles

EDIT: Artículo sobre el tema:

https://fail0verflow.com/blog/2018/shofel2/

Básicamente o cambias el procesador o no tienes otra forma de parchearlo.

1 1 respuesta
B

#666 Es que recuerdo que me puse a trastear con juegos en VMware y tenía problemas con la gráfica , y buscando soluciones encontré eso de darle acceso al GPU directamente era como 1 parche que tenías que instalar tu en el VMware.

https://www.dell.com/support/article/es/es/esbsdt1/sln288103/c%C3%B3mo-habilitar-una-m%C3%A1quina-virtual-vmware-para-realizar-una-transferencia-de-gpu?lang=es

1 respuesta
SikorZ

#667 Por lo que leo eso es simplemente para poder sacar toda la potencia de tu GPU, no sólo gráfica si no para procesamientos también.

https://www.qnap.com/es-mx/how-to/tutorial/article/c%C3%B3mo-utilizar-la-transferencia-directa-libre-de-la-gpu-en-la-virtualization-station2/

Como por ejemplo cuando minan bitcoins utilizando la GPU en lugar de CPU porque la GPU por su naturaleza realiza con mas agilidad para resolver las cuentas de problemas matemáticos que necesitas para minar los algoritmos. No veo que tenga nada que ver con nada de seguridad per se simplemente eso, darle la potencia a la VM para que la use a full.

1 1 respuesta
B

#668
Thanks, no entiendo mucho del tema y ni pude ponerlo xD pero me entró curiosidad.

1 respuesta
SikorZ

#669 Esto es muy ilustrativo:

B

#669 Osea que la modificacion del VMware que quería hacerle es a nivel Guest OS o Virtualization Station como mucho no?

1 respuesta
B

#663 No le hagas caso, no sabe lo que dice:

documentación sobre los dos tipos de hypervisores: https://searchservervirtualization.techtarget.com/feature/Whats-the-difference-between-Type-1-and-Type-2-hypervisors

Hypervisors such as VMware ESXi, Microsoft Hyper-V server and open source KVM are examples of Type 1 hypervisors.

El artículo lo explica bastante bien, de forma correcta y extensa, de forma resumida:

Los tipo 1, son más eficientes porque dan acceso al procesador directamente, para esto hace falta un hardware especial que lo permita, hoy día casi todos los procesadores de ordenadores convencionales lo permiten.

Los tipo 2, envian ellos las operaciones al procesador en base a lo que pide un procesador virtual asignado a la máquina, la MV no accede directamente al procesador, estos tienen la ventaja que les puedes presentar diferentes procesadores virtuales pero son más lentos.

2 respuestas
SikorZ

#671 No, en realidad lo que yo entiendo es que el "GPU Pass-through" conecta la VM por decirlo así "directamente" con la GPU para así poderle entregar mas potencia que de otra manera sería imposible.

Cuando virtualizas utilizas recursos limitados de tu maquina física para emular un entorno virtual (valga la redundancia) y de esta manera le das una potencia grafica a la VM que de otra forma no podrías darle.

Dicho de otra manera, es como "conectar" la VM directamente a la GPU sin restricciones ni límites (aunque lógicamente no podrás usar el 100%)

1 1 respuesta
Kimura

#663 #672 pero por ejemplo QEMU si es un emulador de HW encima de manejar VMs, ya que bueno, precisamente es capaz de emular otras arquitecturas de procesadores diferentes a la que se use nativamente y correr VMs destinadas a ellas, no? Por ejemplo Raspbian en un x86 por decir algo.

Desde mi ignorancia, pero quizá por ahí fuesen sus tiros. Aunque creo que no pega esto con HyperV.

1 respuesta
B

#673 Depende del tipo de hypervisor, en los tipo1 como VMWare o HyperV sí, de hecho si tu servidor no tiene una tarjeta gráfica, incluidas las que vienen con el procesador(tipo intel UHD Graphics 620) las máquinas de dentro no pueden tener tarjeta gráfica y no puedes correr cosas como OpenGL y cosas así, es una putada cuando te ocurre esto en producción.

#674 Que parte de lo que diga sea cierto, lo de "emulado y no emulado", no quita que no se haya equivocado al decir que "hyperV emula", no emula. SI hubiera dicho VMWare, a lo mejor le compro que se refería a la workstation que SÍ emula hardware.

PD: no conozco QEMU, pero por lo que dices es del tipo 2.

1 respuesta
mongui

Diario de bitácora, sigo por 4o dia en casa

1 respuesta
AikonCWD

#676 pues en twitter han callado que no veas. Bomba de humo literal.

Nada de info y solo gente metiendo noticias de eventos y mierdas para despistar e intentar tapar lo ocurrido

2 respuestas
mongui

#677 En e?

Vedrfolnir

A lo tonto se está quedando buena semana, en la oficina seguimos sin acceso a la red de cliente, y sólo a algunos afortunados con cosas urgentes les han dado pinchos 4G para acceder (se puede acceder desde internet pero no desde la red de Everis, perfect xD)

mongui

Yo desde casa sin pc corporativo puedo acceder a Teams pero Skype o servicios internos, ninguno funciona, pero ni acá ni en la oficina aun... Menos mal que offline puedo ir avanzando documentos, si no, menuda putada

1
NeV3rKilL

#675 Estaba convencido que HyperV era emulador y no virtualizador. Habré metido la pata.

Para acabar de desviar el hilo: https://stackoverflow.com/questions/6234711/what-are-the-specific-differences-between-an-emulator-and-a-virtual-machine

#677 Habrán indentificado a pussylover

1 respuesta
AikonCWD

#681 La prensa internacional se ha hecho eco del suceso pero nacionalmente nadie ha querido encender el ventilador de la mierda ni nada. Vaya asco de manipulación.

Pues ea, ojalá les vuelva a pasar otro incidente

1 respuesta
CaNaRy_r00lz

#682 A quien pertenece everis con quien tiene relacion o a quien le lleva las cosas? con eso puedes sacar conclusiones xD

1 respuesta
B

#635 como fue el experimento?

1 respuesta
Vedrfolnir

#683

1 respuesta
AikonCWD

#684 Un chasco.

Me puse con un srv2008 bastante antiguo y sin parches. No tenía sentido hacerme phising a mí mismo ya que no tiene gracia enviarme un mail y abrirlo conscientemente xD, así que me metí en el server explotando EternalBlue y BlueKeep.

Una vez dentro intenté ejecutar Empire (que es lo que me hacía gracia de todo eso) y no fui capaz. El payload no se ejecutaba en el server debido a que era muy antiguo y le faltarían algunas librerías para ejecutar el powershell malicioso de Empire.

Cada vez que intentaba ejecutar el script, éste petaba en alguna línea por X motivo. Y ahí lo dejé y me fui a dormir muy triste.

5 3 respuestas
CaNaRy_r00lz

#685 Si bueno pero eso no quier decir nada, puede pertenecer al grupo prisa por ejemplo, pk everis es de NTT Data, y NTT Data pertenece al grupo prisa, que era lo que me referia (lo de prisa es un ejempo )

#686 entonces se infectaron por tener los pcs "al dia" sino hubiesen metido ningun parche, Empire no habria podido funcionar :rofl:

2 respuestas
NeV3rKilL

#686 ¿La gracia de empire no es moverse en horizontal buscando credenciales? ¿Necesitarías al menos 2 máquinas, cliente servidor para ello y probar diferente software, con diferentes versiones para escampar la infección, no?

Yo solamente en pensar la de configuración que les tenía que meter y el oxido que lleva mi cerebro, vi la opción RDR2 muchísimo más atractiva al instante.

#687 Al día, pero no demasiado.

AikonCWD

#687 No hay nada oficial (y a este ritmo no habrá nada oficial nunca), pero el proceso ha ido de la siguiente forma:

  1. Un usuario de Everis entra en una web que ha sido comprometida (aquí no especifican cómo el user llegó a esa web, pero casi seguro 100% que fue clickando un link en un mail phising).
  2. La web explota un bug de chrome y permite la descarga de un JS malicioso, en forma de fake-update de chrome. El user acepta el JS
  3. El JS instala Empire en ese PC (entendemos que es un Win10 actualizado, posiblemente con local-admin)
  4. Se hace movimiento lateral con Empire estando ya dentro de la red de Everis.
  5. Se salta a diferentes máquinas, se pescan credenciales y se recopila info
  6. Están así X días y esperan al domingo de madrugada para detonar su payload (un ransomware modificado de BitPaymer)

Seguramente que si Empire lo ejecuto en un PC standar funciona bien, pero en mi server chustero del 2009 no ha habido manera xd

1 3 respuestas
mongui

#689 Vas bien mi joven padawan

1 respuesta