OFF-Topic

Posible cyber ataque a las principales empresas españolas

nerkaid
nerkaid #811 May '17 fsociety
#806NickNack:

Antes de que todo esto pasara se comprobaba cualquier dispositivo accesible por red, y si EternalBlue era capaz de entrar, se replicaba en todos. Cuando ya no podía replicarse mas entonces empezaba a hacer estas llamadas, y si no habia respuesta, WCry se desplegaba y encriptaba todo.

Lo oísteis aquí primero.

#525nerkaid:

Es decir, aquí ya te hablo de suposiciones mías, el proceso ha tenido que ser algo como:

1) Infecto una máquina a través del exploit.
2) Desde esa máquina, veo que otras máquinas tengo a mi alcance y vulnerables.
3) Me replico a estas máquinas y empiezo el mismo proceso que acabo de hacer.
4) Una vez que ya no me puedo extender más, empiezo a encriptar.

B
[Borrado] #812 May '17

#673 Quise decir si se llega a confirmar que la vulnerabilidad la conocía Microsoft desde hace 1 año y la NSA no le dejó publicar el parche hasta marzo. Eso es lo que afirman "malas lenguas". Eso es lo que si se confirmarse, tiene tela marinera.

2 respuestas
allmy
allmy #813 May '17 CSI

#812 Me lo creo. Como heartbleed, que llevaba más de un año utilizándolo para espiar a Google y otras empresas.

Luego ya cambiaron la ley y les obligaron.

1
Soy_ZdRaVo
Soy_ZdRaVo #814 May '17 Mod a su pesar

#812 Yo me creo que la NSA o cualquier otra agencia de 3 letras lo tuviera durante un año, e incluso que Microsoft supiera de su existencia. ¿Pero y qué? Si es que repito, esto no es que unos delincuentes hayan encontrado el mismo fallo que usa la NSA y por lo tanto la negligencia de la NSA/Microsoft ha puesto en riesgo a mucha gente. Esto es que desde el 14 de Marzo hay una solución a este problema, hace unos días se liberó el bug puesto que ya había parche oficial que lo solucionaba y los que han sufrido el ataque no gestionaron sus sistemas como debían.

Aquí solo hay dos culpables, los cibercriminales en primer lugar y en segundo lugar los administradores de sistema que se han comido esto por no parchear como debían.

3
DiSoRDeR
DiSoRDeR #815 May '17

Y no creéis que las Instituciones públicas y las grandes corporaciones deberían darle puerta a Microsoft? Es excesivamente grave que les ocurra algo como esto.

1 2 respuestas
allmy
allmy #816 May '17 CSI

#815 Bueno, Microsoft había publicado el parche hace 1 mes.

Y no es tan fácil ir a Linux. Cambiamos en mi oficina a Linux, y cuelgan al de IT del cable ethernet.

1 1 respuesta
DiSoRDeR
DiSoRDeR #817 May '17

#816 No me preocupa el hecho particular, me preocupa la tendencia. Cada vez veo problemas más gordos y más a menudo de ciberseguridad en las empresas que damos servicio. Y eso sin contar todo lo que no se sabrá como robos de información. Me parece muy imprudente que, siendo la ciberseguridad uno de los mayores desafíos de las próximas décadas, el 9X% de los ordenadores estén con el mismo sistema, incluidos muchísimos pcs con información muy valiosa.

2
Ivan69
Ivan69 #818 May '17 Inocente

#815 yo creo que la mayoria de empresas afectadas preguntara al tecnico que tengan ¿y que hacemos para que algo como esto no vuelva a ocurrir? ¿Crees que dira pasarnos a linux? o ¿tener todo actualizado? (aparte de capar redes/tener copias de seguridad aisladas y cosas asi).
Es dificil abandonar una infraestructura que en su momento decidiste pagar por cierta comodida o ventajas (pareceria que has tirado el dinero).

LinCeX
LinCeX #819 May '17

Había un hilo de ciberseguridad por mv , ¿No? .
¿Alguien que se acuerde me puede pasar el link?. No me lo encuentro :palm:

1 1 respuesta
Aibehn
Aibehn #820 May '17

#819 Este?
http://www.mediavida.com/foro/off-topic/cppa-cypherpunk-privacidad-anonimato-504993

1 1 respuesta
LinCeX
LinCeX #821 May '17

#820 Exacto! :qq:

TeKaNeO
TeKaNeO #822 May '17 Veterano

¿Alguien me pone el link para el parche de Windows 7 Home SP1 por favor?

Sierra_29
Sierra_29 #823 May '17

Perdonad si esta pregunta está ya respondida y perdonad mi ignorancia en la materia. La prensa está vendiendo el descubrimiento del killswitch como un "despiste de los hackers". Es así? Porque imagino que si está incluido en el código es porque los autores así lo programaron.

aimettijosh
aimettijosh #824 May '17

Para los que quieran ver como se infecta, si era phising o clicando en un mail, aquí el video donde se enseña que no hace falta hacer nada para pillar el virus

https://twitter.com/GossiTheDog/status/863568506012520449

1 respuesta
Iwywnsb
Iwywnsb #825 May '17

#824 Yo entiendo que ambos PCs están en red y de ahí que se infecten. Pero vamos, que uno ha tenido que hacer click en el e-mail y luego el resto extenderse por toda la red, pero uno sí ha tenido que hacer click en el mail xD

#826
comentario moderado
1 comentario moderado
Daidum
Daidum #827 May '17

#826 Muy interesante la verdad, gracias por sacar un ratillo y contárnoslo. Que sea leve.

Yo tengo miedo por lo que nos podamos encontrar mañana en el curro, por lo de pronto no tenemos avisos en la consola de nada raro pero a saber..

1 respuesta
#828
comentario moderado
1 comentario moderado
NickNack
NickNack #829 May '17 :psyduck:

#826 Teniendo en cuenta el material sacado de la NSA, es de ilusos pensar que solo el Wcry anda pululando por ahí. Es el que mas eco se ha hecho por el método de actuar creo yo.

Una pregunta... ¿Que vectores de entrada crees que son vulnerables en una empresa como de la que hablas? He de suponer que una intrusion desde el exterior no es tan sencilla como una conexión domestica, está claro. Además del email... que otras formas se te ocurren?

1 respuesta
#830
comentario moderado
1 comentario moderado
GaN2
GaN2 #831 May '17 Inocente

#826 No lo digo por ti pero el cliente en el que trabajas tiene unos cojonazos tamaño XXL. Aunque todavía no se sabía todo el viernes creo que había razones de sobra para haber tomado medidas preventivas, de hecho creo que muchas empresas se han salvado por la paranoia que cundió el viernes y las medidas tan drásticas que se tomaron. Mucho ánimo que todo pasa, nosotros llevamos parcheadas 300 y pico máquinas desde el Viernes y las que quedan todavía por parchear... Creo que esto ha hecho el suficiente daño como para que más de un CIO se empiece a plantear ciertas cosas.

1 1 respuesta
#832
comentario moderado
1 comentario moderado
wimanda
wimanda #833 May '17

Quien sabe si esto puede servir para que las compañías se tomen mas en serio la informática en general, que parece que con que los ordenadores funcionen ya sirve...

Y no hay capturas del supuesto email?

1
Culebrazo
Culebrazo #834 May '17

#832 te compadezco hermano donde yo curraba de soporte no llegábamos a 1500 máquinas creo... No me quiero imaginar la locura que tendréis encima

GaN2
GaN2 #835 May '17 Inocente

#832 Nosotros solo tenemos servidores, nada de equipos de usuario con lo cuál nos quitamos bastante. Y demos gracias que no afecta a Linux porque entonces estaríamos parcheando máquinas hasta el 2037. Lo bueno van a ser todas las horas extras facturables que van a salir a final de mes :shutup:

RusTu
RusTu #836 May '17 Sub-Admin

Attack vector

A ransomware threat does not normally spread so rapidly. Threats like WannaCrypt typically leverage social engineering or emails as primary attack vector, relying on users downloading and executing a malicious payload. However, in this unique case, the ransomware perpetrators incorporated publicly-available exploit code for the patched SMB EternalBlue vulnerability, CVE-2017-0145, which can be triggered by sending a specially crafted packet to a targeted SMBv1 server, was fixed in security bulletin MS17-010, released on March 14, 2017.

WannaCrypt’s spreading mechanism is borrowed from well-known public SMB exploits, which armed this regular ransomware with worm-like functionalities, creating an entry vector in machines still unpatched even after the fix had become available.

The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack.

We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios we believe are highly possible for this ransomware family:

  • Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit

  • Infection through SMB exploit when an unpatched computer can be addressed in other infected machines

aimettijosh
aimettijosh #837 May '17

:ninjaedit:

Soy_ZdRaVo
Soy_ZdRaVo #838 May '17 Mod a su pesar

Por fin ha vuelto el hilo desde los confines de la base de datos!

2
BuLLeT_AZ
BuLLeT_AZ #839 May '17

Billa ha pagado el rescate con el sueldo que no paga a los becarios.

3
PaCoX
PaCoX #840 May '17 Ant queen

Me ha llegado un mail de telefonica asegurandome que sus sistemas no se contagiaron solo que mandaron apagar los ordenadores pq sus honeypots/IDS o como le llaman ellos 'globos sonda' recibieron el ataque este y dieron la voz de alarma.

2 respuestas

Usuarios habituales