La Ser, Everis y otras empresas bloqueadas por ransomware

AikonCWD

#716 vaya tela :O

Pero tienes acceso a las carpetas compartidas? están los ficheros encriptados con la extensión .3v3r1s? Molaría saber el impacto y el alcance de la infección.

1 respuesta
Seyriuu

#721 No, no tengo accesos de red a ninguna parte, aunque el my team me funciona y seguramente pueda entrar en los recursos compartidos de mi equipo, pero a nivel Everis o el cliente nada.

1 respuesta
AikonCWD

#722 Joder. A ver si os cuentan algo más, si tienen muchos ficheros encriptados, si puedes utilizar (o no) los backups o si van a pagar el rescate...

1 respuesta
Seyriuu

#723 No nos van a contar nada de nada, a menos que alguien trabaje en el propio departamento de seguridad interna de Everis...

Al grueso de los empleados nos han hecho actualizar el McAffee y nos han dicho que aún no podemos conectarnos a cliente, pero que ya está todo bien.

En teoría nos están pidiendo que nos den de alta los usuarios de nuevo hoy.

Pero a nivel interno no nos van a contar nada, primero porque no quieren que lo filtremos, y luego por la imagen corporativa propia

2 2 respuestas
PiPePiTo

#724 lo suyo sería publicar un RCA (Root cause analysis) en cuanto lo tengan todo claro y qué van a hacer para mitigar casos así en el futuro, pero es que huele a que era una cagada gorda y básica y no van a querer hacer eso público.

1 2 respuestas
Seyriuu

#725 Seguramente lo hagan, pero fíate de que lo que cuenten sea realmente lo que ha sucedido o no.

En parte lo entiendo, les interesa vender una imagen que no les penalice de cara a los clientes, a lo tonto esto puede hacer mucho daño a los nuevos proyectos.

AikonCWD

#725 Si el vector ha sido lo que se ha filtrado, se mitiga con un buen sistema de políticas y permisos:

  • Deshabilitar Windows Scripting Host en todos los equipos
  • Todos los usuarios como administrador local
  • Deshabilitar ejecución de procesos desde %tmp%, %appdata%, %localappdata% y %programdata%
  • Deshabilitar por política las macros en office
  • Forzar actualización tanto del sistema operativo como de las apps instaladas. (browser, java, y un largo etc)
3 respuestas
Vedrfolnir

#724 This. Dudo que nos acaben contando nada. Dentro de un mes o dos, una píldora informátiva de por qué no debemos abrir enlaces extraños de correos raros y a seguir igual que siempre.

Lo mejor es que hace unos meses ya hicieron algo parecido, un email de no me acuerdo qué, que pedía entrar en una web y poner el user y pass corporativo. Picó muchísima gente xD
Al final todo fue tema de concienciación y un simulacro de seguridad, fueron juntando a la gente y diciendo que no, no sé pinchan en enlaces raros y no, no se ponen usuarios y contraseñas...
Para lo que ha servido xD

1 respuesta
mongui

Pues a mi me esta llegando info rica rica la verdad, me subiré un escalón en el nivel de attwhorismo porque ya que me putean, al menos se que tengo informacion fidedigna xD

1 respuesta
B

En mi empresa cayó todo el servidor y pc's al completo y también un servidor que teníamos para backups hace 5 años o así poco antes de que yo entrase.

Según me cuentan, todo se pudo resolver relativamente rápido porque el responsable it hacia copias de seguridad a parte en un servidor externo que desconectaba de todo.

Por otro lado, se perdió muchísima información y horas de trabajo por toda la gente que guardaba excel y demás documentos en su pc de forma local. De hecho cuando yo entré había una política bastante clara de no guardar NADA en el pc y nos contaron que la culpa fue de una chica de administración que hizo clic en el correo que no debía.

SikorZ

#729 ¿Y de qué sirve si luego no compartes nada cabrón?

Yo sí que tengo toda la información, pero TODA la información, hasta un dump del cerebro de los técnicos de Everis. Pero no pienso contar nada, jeje.

1
mongui

Pues que lo que si puedo hacer es al menos desmentir la info que no sea real, para que no vayais dando palos de ciego

1 1 respuesta
PiPePiTo

#727 Todo eso por ejemplo lleva implementado en mi empresa desde que yo entré al menos (no se antes porque el actual devops y yo empezamos el mismo día), por eso que tengan que decir a estas alturas que han tomado esas medidas igual no es lo mejor de cara al público xD

1
SikorZ

#732 MiaSkylar estaría orgulloso de tí.

1
CaNaRy_r00lz

#728 Eso lo llegan a hacer con una reduccion del suelo ese mes, y verias tu como la gente pincha LOS COJONES, pero como no les ha pasado nada a los paletos pincha links pues seguiran pinchando, y volvera a pasar es lo que tiene, o amenazas donde duele o nada

1
NeV3rKilL

#727 Deshabilitas las macros de office en mi empresa y puedes volver a sacar las maquinas de escribir de los armarios.

1 1 respuesta
AikonCWD

#736 deshabilita las macros no firmadas y firma las que uses en el entorno corporativo. A pagar!

brew

#720 normalidad total en acc, pasaron un correo recordando los cursos de seguridad obligatorios internos y avisando de que estuvieramos alerta.
Tambien aprovecharon para publicitar los meetings de seguridad a los que no van ni 20 personas xd

4
E

#727 Por aquí todo tranquilo hoy. Hay algunos compañeros todavía con algún problema pero el 95% hemos vuelto a cliente y estamos trabajando con normalidad.

1 respuesta
Shikoku

#708 wtf xD

Aquí usamos veeam y así no tengo que hacer tantas cosas xD

1 3 respuestas
AikonCWD

#740 Nosotros tenemos software hosteado en local, aplicaciones cliente-servidor, ERP y bases de datos que no están en la nube.

1 respuesta
B

#739 Obviamente contesta a lo que quieras pero me asaltan ciertas dudas, dices que trabajais con normalidad, ¿tenéis acceso a compartidas que supuestamente fueron encriptadas? ¿es un backup o han pagado y desencriptado?
¿hay clientes que han permitido conectarse a su Red sin que les hayan dado un informe de lo ocurrido?

#740 Veeam backup es la verdadera salúd! aquí uno ha mejorado muy mucho la calidad de sueño desde que se implementó :)

2 respuestas
Hernani

#740 si el servidor en el que tienes instalado el veeam one backup replication peta o es afectado... como restauras todo?

2 respuestas
Shikoku

#741 pues como nosotros xD

Teníamos dpm antes y es de las mayores mierdas que he visto en mi vida

1 respuesta
Shikoku

#743 tienes que tener la copia de la bbdd del veeam fuera de ese servidor

Con eso, restauras el veeam facil

1 respuesta
AikonCWD

#744 entiendo. De todas formas me gusta como lo tengo ahora mismo, todo controladito.
Habéis hecho test de recovery? para ver cuanto tardaríais en dejar la compañía operativa tras un desastre gordo? Yo lo he realizado y los tiempos de downtime son bajos y aceptados por la dirección, así que ggwp y nos ahorramos los costes de soluciones de terceros.

1 respuesta
Vedrfolnir

#742 Supongo que los que están en cliente podrán trabajar normal en la red de cliente, los de oficinas me consta que están aún sin red local ni acceso a carpetas compartidas ni nada, al menos que yo sepa. En cuanto a lo demás, ni idea xD

1 1 respuesta
AikonCWD

#747 Imagino que dependerá de la oficina, no? Quiero pensar que si hay algo encriptado es en un departamento u oficina en concreto... me refiero a que ha afectado a everis madrid, los de everis barcelona podrán trabajar con carpetas.

Imagino... a no ser que hayan infectado entre oficinas y sedes de everis.

1 respuesta
Vedrfolnir

#748 La verdad es que no tengo ni idea de a qué oficinas afectó directamente. Personalmente lo que es un ordenador infectado con el ransomware yo no lo he visto (al contrario que el bloqueo masivo por el antivirus que eso sí), todo lo que sé es de oídas y leerlo aquí xD
De momento en mi oficina estamos sin red, y creo que en otras están igual, si viene alguien a confirmar pues mejor xD

CaNaRy_r00lz

Si te pones una VM y te bajas un ransomware, te lo tienes que bajar via VM no? pk si lo bajas a tu pc para luego pasarlo a la VM corres el riesgo de infectarte aunque no lo ejecutes o siempre y cuando no lo ejecutes no corres peligro?

1 respuesta