Incidente mundial Ransonware, Movistar, bancos, hospitales

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
En mi empresa, es culpa del área de tecnologías de la información que en su afán de controlar todo (o quizás justificarse) tienen las actualizaciones centralizadas.

Mañana recién van a lanzar el dichoso parche a los equipos (igual lo había instalado manualmente, la cuenta de usuario mía tiene esos permisos, por suerte)
No diré que el área que maneja las actualizaciones de los usuarios vale champiñon :risas Ojalá hoy no nos peguemos el bicho. Al menos los servidores quedaron parchados el sábado, restando los 2003 Server que aún estan operativos.
 

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.962

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.519
Ahora a nivel de empresas muchas estas limitan o controlan el windows update por que la cantidad de ancho de banda que consumen es ENORME, varias veces en nuestra empresa nos hemos dado cuenta que la cantidad de BW usado por Windwos Update exede con crece a otros protocolos, aparte como es BW internacional... Justamente por eso conviene tener un repositorio local de actualizaciones pero no se que tan complejo es ello para su implementación.

Saludos
 

Harima

Pegao al tarro
Se incorporó
15 Mayo 2008
Mensajes
3.962
Ahora a nivel de empresas muchas estas limitan o controlan el windows update por que la cantidad de ancho de banda que consumen es ENORME, varias veces en nuestra empresa nos hemos dado cuenta que la cantidad de BW usado por Windwos Update exede con crece a otros protocolos, aparte como es BW internacional... Justamente por eso conviene tener un repositorio local de actualizaciones pero no se que tan complejo es ello para su implementación.

Saludos
Si tienes dominio wsus es bastante simple

https://msdn.microsoft.com/es-es/library/hh852340(v=ws.11).aspx
 

EITSAEB

Team Peacemaker Hater
Se incorporó
10 Septiembre 2006
Mensajes
4.659
7 horitas extra :clap


Estoy seguro que se viene un ataque mas grande. :paco
 

Sago7

Tibetan Mod
Miembro del Equipo
MOD
Se incorporó
5 Julio 2006
Mensajes
6.157
Que agradable que el tema no se haya convertido en guerra santa entre Win y Linux. Ya vi eso en otros lados. No entienden que el ransonware es un tema que ha afectado tambien a otras plataformas incluido el reino de Tux.

Ahora vienen efectos como el del informatico que quiso ser el heroe y a esta hora tuvo que partir a cliente porque apagaron los servidores por seguridad, justo despues de que aplico los fix. Y hoy al encenderlos no entraban al dominio. Lo culparon...

Un minuto de silencio por los que intentamos hacer las cosas bien y aun asi nos culpan de algo mas que salio mal. :(
 
Última modificación:

Soujiro

Fanático
Se incorporó
14 Enero 2008
Mensajes
1.433
Yo no tenia activadas las actualizaciones automáticas, por culpa de microsoft. Van dos veces que el tenerlas activadas me han causado problemas graves.

La primera vez fue en los tiempos de windows xp, sacaron un update que tenia problemas con chipsets radeon así que un lunes en la mañana me tope con 15 windows con su pedazo de bluescreen al encender, el lindo cachito que fue arreglar eso.

La segunda vez no fue "tan" terrible, pero = no deja de ser. Update de que rompia el windows update en windows 7 provocando que usara 100% de cpu y ademas chupara toda la memoria provocando que el pc se arrastrara. Obviamente las actualizaciones automáticas no funcionaban y los imbéciles de microsoft tardaron 6 meses en sacar el parche para corregir el bug.

En vista de eso y que la porquería chupa un ancho de banda estúpido para actualizarse y que tampoco respeta las horas para "actualizarse" tenia desactivadas las actualizaciones automáticas.

Tube que parchar a mano el viernes en la mañana (nada terrible en todo caso). Ahora viendo como carajos implementar un servidor wsus sin usar dominio, tenemos 10 windows de escritorio y 4 wintendo servers 2008 y un wintendo 2003, servers que esperamos dar de baja definitivamente el próximo año.
 

Koji Nanjo

Sushiman
Se incorporó
21 Marzo 2006
Mensajes
1.725
Hace rato que no prendo mi pc y tengo miedo de hacerlo ahora :zippy. Tengo movistar
 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.880
Hace rato que no prendo mi pc y tengo miedo de hacerlo ahora :zippy. Tengo movistar

giphy.gif
 

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
Acá tenemos un WSUS, claro que es mas fácil desplegar las actualizaciones. Sin embargo, se hacen parceladas :yao
En fin.
 

Batou

%安全
Se incorporó
13 Julio 2008
Mensajes
497
:S No tenia idea que habia afectado a Telefonica de otros paises, pensé que sólo era en España xDD!

Aqui Chema (encargado de la seguridad en Telefonica España) tratando de dar explicaciones:

http://www.elladodelmal.com/2017/05/el-ataque-del-ransomware-wannacry.html

_____________

En cuanto al wannacry no fue leakeado por Wikileaks, fue el grupo Shadow Brokers hace creo que un poco más de un mes liberaron una clave de un archivo comprimido que habia publicado hace más tiempo, en el cual se encontraban herramientas y zero day del grupo Equation Group (NSA).


OJO han salido una nueva versión que ya no tiene el killswitch,así que actualizen o deshabiliten smb o cualquiera de los varios metodos que hay por twitter xD.

Las direcciones bitcoin del ransomware han obtenido cerca de 33 bitcoins (60k USD aprox.) solamente, de todas formas esas direcciones tenían harto movimiento.

Un dato curioso es que muchos de los pantallazos muestran 3 direcciones de bitcoin solamente lo cual da a pensar que los responsables no tienen una forma de identificar quien pago, es decir que aunque pagues quizás no recibas la llave porque no tendran como saber que fuiste tu quien pagaste.

Saludos.
 

galansinchance

enajenao
Se incorporó
3 Enero 2006
Mensajes
7.425
Fuera de las políticas de respaldo y otras asociadas, me llama la atención que el argumento de chema respecto de Telefónica fuese que no pueden actualizar por probables problemas de compatibilidad con aplicaciones a medida o sistemas críticos donde se sustenta el core business y que podría verse afectada la continuidad del negocio si cada actualización del sistema operativo no es exhaustivamente probada.

Eso me da a entender 2 cosas:
  1. Al parecer hay una buena comunicación entre las áreas de seguridad TI y soporte con las áreas de desarrollo
  2. Hay aplicaciones dentro del core business de Telefónica que también explotaban la vulnerabilidad al interior de los equipos la empresa
¿Qué opinan?

Saludos.
 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.880
También leí lo que decía Chema. Es un hueveo la certificación, cuesta mucho en términos monetarios ir certificando las aplicaciones para cada actualización, así que siempre van tres pasos atrás de lo que recomienda el fabricante del sistema operativo.

Entre que los desarrolladores van liberando nuevas versiones de sus productos, el fabricante de la plataforma libera nuevas versiones del core y el sistema operativo va sacando service packs, el departamento de QA queda más pillado que la cresta.

Finalmente no te queda más que rezar para que los usuarios no hagan click en links dudosos.
 

Kitsune

Fanático
Se incorporó
5 Mayo 2006
Mensajes
1.052
gracias por la info.
ya aplicamos parche en los windows que quedan por acá, uno nunca sabe cuando un curioso aprieta lo que le llega..
 

K.D.S

Pro
Se incorporó
20 Enero 2006
Mensajes
541
Toda la mañana parchando pc de usuarios, almenos el sabado hice la pega pesada de parchar los laboratorios de computacion ya que los pude enceder remoto desde mi casa :pulento, igual me tope con algunos windows rebeldes que me tiraban error al aplicar el parche, googleando tube que copiar unas lineas de comando , generar un archivo bat y con eso reiniciaba unos cuantos servicios y ahi re100 me dejo parchar esos pc.
 

ayn

MOD
Miembro del Equipo
MOD
Se incorporó
2 Noviembre 2005
Mensajes
5.269
Arauco y cencosud afectados por el bicho, confirmado

Enviado desde mi HTC Desire 626s mediante Tapatalk
 

dertio.barcos

Dragon Trainer
Se incorporó
10 Noviembre 2014
Mensajes
1.839
Arauco y cencosud afectados por el bicho, confirmado

Enviado desde mi HTC Desire 626s mediante Tapatalk
Por aquí parchando las pc de la familia así me evito el cagaso y advirtiendo que no habrán ningún correo raro o extraño y a la primera que vean algo raro en la pc que la desconecten

Enviado desde mi Hisense L675 mediante Tapatalk
 
Subir