Caída Sistemas IFX/Netglobalis/Psinet/CTR

pipe9

pipe9

Fanático
Se incorporó
10 Enero 2020
Mensajes
1.105
Hoy desde temprano, todos los sistemas figuran caidos, dns, correos, servicios voz, hosting.

Alguien sabe que pasa?
 
Sort by date Sort by votes
Zuljin

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
epic dijo:
Mis VM ya subieron, creo que el sábado, hoy probé y estaban arriba... donde habrán subido las cosas ni idea, pero están arriba,
Haz clic para expandir...

¿están con los mismos datos que cuando se cayó IFX o acaso cargaron un respaldo?
 
Upvote 0
DreamDebian

DreamDebian

Dreamlinux
Se incorporó
9 Noviembre 2008
Mensajes
85
Saludos compas.

Sumando a todo lo que ya se ha comentado, publicaré como los ciber-delincuentes de RansomHouse, cometieron el ataque y era más o menos lo que pensaba que había sucedido. Aquí el grave problema que se genero, fue una gran brecha de seguridad o agujero de seguridad producto por no tener actualizada su infraestructura a nivel de hypervisor. Todo apunta a que la versión de ESXi 6.0 sería la culpable por haber expirado su E.O.L, producto de esto, generando una brecha gravísima en la integridad y consistencia de la seguridad al interior de la empresa en todos sus servicios asociados. El ataque fue a tal punto, que escalaron con nivel de privilegio de administrador hasta el mismo core de toda su infraestructura, dejándolos completamente desprovistos y "ciegos" en internet. Por eso cada vez que uno quería resolver en los dominios afectados, estos no devolvían absolutamente nada. Bueno, nadie esta ajeno a este tipo de cosas, pero por lo mismo y tal como siempre lo digo, la higiene cibernética es muy importante a la hora de prevenir cualquier tipo de ataques, comenzando desde lo más básico hasta los más técnico. Saludos.👍
--
Denominación: IoC Ransonware. A.K.A MarioLocker. (Mario se equivoco de tuberia)
Tipo de programa: Polimórfico, demoninado MarioLocker.

1695668955356.png


1695668988152.png


1695669010953.png


HASH ASOCIADOS:

1695669036899.png


VECTORES DE ATAQUE:

1695669078415.png


DOMINIOS:

1695669128545.png


1695669168348.png


El famoso MarioLocker.

1695669182622.png


1695669222736.png


COMANDOS DE SHELL:

1695669258916.png


TIPOLOGÍAS:

1695669300599.png


PATHS MODIFICADOS:

1695669322339.png


--

ETAPA 1:

1695669364316.png


ETAPA 2:
1695669416638.png


ETAPA 3:

1695669442628.png
 
Última modificación:
Upvote 0
epic

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
846
Zuljin dijo:
¿están con los mismos datos que cuando se cayó IFX o acaso cargaron un respaldo?
Haz clic para expandir...
uhmmmm, estoy un 99,999% seguro que esta todo tal cual desde que se cayo IFX, lo mas probable es que hayan bajado mis maquinas cuando quedo la escoba para que no se hayan visto afectadas y la prendieron nuevamente ahora que no hay problema ... o pagaron el secuestro y las volvieron a levantar. Nunca sabremos :S

Me dicen que luego pase la contingencia "se realizará un análisis forense con el fin de revisar detalles del ataque"
 
Última modificación:
Upvote 0
epic

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
846
DreamDebian dijo:
Saludos compas.

Sumando a todo lo que ya se ha comentado, publicaré como los ciber-delincuentes de RansomHouse, cometieron el ataque y era más o menos lo que pensaba que había sucedido. Aquí el grave problema que se genero, fue una gran brecha de seguridad o agujero de seguridad producto por no tener actualizada su infraestructura a nivel de hypervisor. Todo apunta a que la versión de ESXi 6.0 sería la culpable por haber expirado su E.O.L, producto de esto, generando una brecha gravísima en la integridad y consistencia de la seguridad al interior de la empresa en todos sus servicios asociados. El ataque fue a tal punto, que escalaron con nivel de privilegio de administrador hasta el mismo core de toda su infraestructura, dejándolos completamente desprovistos y "ciegos" en internet. Por eso cada vez que uno quería resolver en los dominios afectados, estos no devolvían absolutamente nada. Bueno, nadie esta ajeno a este tipo de cosas, pero por lo mismo y tal como siempre lo digo, la higiene cibernética es muy importante a la hora de prevenir cualquier tipo de ataques, comenzando desde lo más básico hasta los más técnico. Saludos.👍
--
Denominación: IoC Ransonware. A.K.A MarioLocker. (Mario se equivoco de tuberia)
Tipo de programa: Polimórfico, demoninado MarioLocker.

Ver adjunto 32776

Ver adjunto 32777

Ver adjunto 32779

HASH ASOCIADOS:

Ver adjunto 32780

VECTORES DE ATAQUE:

Ver adjunto 32781

DOMINIOS:

Ver adjunto 32782

Ver adjunto 32783

El famoso MarioLocker.

Ver adjunto 32784

Ver adjunto 32785

COMANDOS DE SHELL:

Ver adjunto 32786

TIPOLOGÍAS:

Ver adjunto 32787

PATHS MODIFICADOS:

Ver adjunto 32788

--

ETAPA 1:

Ver adjunto 32789

ETAPA 2:
Ver adjunto 32790

ETAPA 3:

Ver adjunto 32791
Haz clic para expandir...
Que tan cierto es esto?? que el ataque se origino por causa de una infraestructura antigua y vulnerable??
 
Upvote 0
sndestroy

sndestroy

Digital Detox
Miembro del Equipo
MOD
Se incorporó
8 Abril 2009
Mensajes
1.873
epic dijo:
Que tan cierto es esto?? que el ataque se origino por causa de una infraestructura antigua y vulnerable??
Haz clic para expandir...
O sea, por mucho que el vector de ataque NO haya sido por eso (que lo dudo, pero tampoco descartemos un topo) igual es un hecho factual que corrían todo en infra antigua. Lo que sienta un mal precedente, por decirlo bien suave... máxime si unos posts mas atrás confirmaron que son VMWare Partners, osea estaba el chancho tirado para upgradear.
 
Upvote 0
DreamDebian

DreamDebian

Dreamlinux
Se incorporó
9 Noviembre 2008
Mensajes
85
epic dijo:
Que tan cierto es esto?? que el ataque se origino por causa de una infraestructura antigua y vulnerable??
Haz clic para expandir...
Fue una de las causales que detono la reacción en cadena, sumado a otras cosas que se están investigando. La empresa aún no se manifiesta y es más, el estado Colombiano va a querellarse contra IFX Networks al igual que ChileCompra. (Chile)
Pero no se puede descartar un insider o simplemente un mail-scammer en donde donde algún funcionario reviso un correo en donde dio origen a la propagación del gusano. Esto fue tan grave que las iteraciones llego al nivel 7, dejando los datos ultra mega cifrados. Si ellos intentan cualquier tipo de recuperación, lo único que generaran es que la información se vea afectada, conllevando a que todo quede corrupto.
 
Upvote 0
DreamDebian

DreamDebian

Dreamlinux
Se incorporó
9 Noviembre 2008
Mensajes
85
sndestroy dijo:
O sea, por mucho que el vector de ataque NO haya sido por eso (que lo dudo, pero tampoco descartemos un topo) igual es un hecho factual que corrían todo en infra antigua. Lo que sienta un mal precedente, por decirlo bien suave... máxime si unos posts mas atrás confirmaron que son VMWare Partners, osea estaba el chancho tirado para upgradear.
Haz clic para expandir...
Así es son Partners oficiales de VMWare. Ahora con todo esto que sucedio no se si seguirán en esa calidad, lo más probable que si, pero claramente van a tener que invertir y preparar una actualización masiva de toda su infraestructura. Recordar que el E.O.L de Vmware ESXi 5.5 y 6.0 han acabado. (la v6.0 hace casi 3 años)

Saludos.
 
Upvote 0
epic

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
846
DreamDebian dijo:
Fue una de las causales que detono la reacción en cadena, sumado a otras cosas que se están investigando. La empresa aún no se manifiesta y es más, el estado Colombiano va a querellarse contra IFX Networks al igual que ChileCompra. (Chile)
Pero no se puede descartar un insider o simplemente un mail-scammer en donde donde algún funcionario reviso un correo en donde dio origen a la propagación del gusano. Esto fue tan grave que las iteraciones llego al nivel 7, dejando los datos ultra mega cifrados. Si ellos intentan cualquier tipo de recuperación, lo único que generaran es que la información se vea afectada, conllevando a que todo quede corrupto.
Haz clic para expandir...

Chuta.. yo estoy peleando por terminar le contrato sin pagar el resto de meses que nos quedaban... al final tuve que montar los servicios en otro lado.

Por otro lado como se sabe que esos fueron los causales si la empresa aun no da detalle alguno?
 
Upvote 0
epic

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
846
DreamDebian dijo:
Así es son Partners oficiales de VMWare. Ahora con todo esto que sucedio no se si seguirán en esa calidad, lo más probable que si, pero claramente van a tener que invertir y preparar una actualización masiva de toda su infraestructura. Recordar que el E.O.L de Vmware ESXi 5.5 y 6.0 han acabado. (la v6.0 hace casi 3 años)

Saludos.
Haz clic para expandir...

Si, tenían todo en VMware... de hecho indicaron que el proceso de recuperación fue liderado directamente por el fabricante para asegurar que los ambientes estén correctos.
 
Upvote 0
DreamDebian

DreamDebian

Dreamlinux
Se incorporó
9 Noviembre 2008
Mensajes
85
epic dijo:
Chuta.. yo estoy peleando por terminar le contrato sin pagar el resto de meses que nos quedaban... al final tuve que montar los servicios en otro lado.

Por otro lado como se sabe que esos fueron los causales si la empresa aun no da detalle alguno?
Haz clic para expandir...
Adivina quien hizo el análisis! ;)
 
Upvote 0
You must log in or register to reply here.
Subir