Blog Informático

0
0
0
s2smodern

monery or data Ransomware min

 

 

Todo el mundo se encuentra hablando del ataque sufrido a nivel global la semana pasada por un Ransomware versionado de WannaCry afectando, entre otras, a varias empresas del ibex35 en nuestro pais.

Desde OnServices queremos ayudar aclarar algunos puntos de la/s informaciones que vienen surgiendo, dado que algunas las creemos inexactas y comunicar a nuestros clientes toda la información de la forma más clara posible.

¿Qué paso? y como se inició todo?

El problema y la solución se produjo en MARZO de este mismo año, cuando Microsoft publicó un boletín de seguridad para una vulnerabilidad GRAVE encontrada en SMB (samba) puertos 137 - 138 UDP y puertos 139 y 445 TCP para redes privadas.

 

En dicho boletín se adjuntaba un parche para la mayoría de los sistemas Windows afectados (no así para los Windows xp, por donde ha entrado en la mayoría de las grandes empresas) *

*Microsoft publicó el parche para XP y sistemas no soportados 24 horas despues de iniciarse el ataque aunque ya no le den soporte ni actualizaciones de seguridad desde hace años, esto se agradece la verdad.

Es sabido que el ratio de actualizaciones en las grandes empresas es relativamente lenta por falta de organización y utilización de herramientas de gestión de sistemas adecuadas; Mala configuración de bastantes sistemas conectados a internet "quasi" a "pelo"... esto unido a un "engaño" a los usuarios básico con un simple mail, etc. hace que estemos ante un aparente "accidente de avión"....

Nunca hay una sola causa y siempre varias fatalidades que se encadenan para desembocar en la tragedia.

 

El inicio real del ataque y la explotación de la vulnerabilidad

Sistemas VS Usuarios: Simple, mala configuración de los sistemas conectados a internet, no le "echemos" la culpa a los usuarios esta vez, solo esta vez. :)

Veamos a WannaCry y lo relativamente simple que es; en cuanto uno de los archivos que lo contienen llega a un ordenador, este bloquea el acceso a los datos que contenga hasta que el propietario entregue una cantidad económica (en el caso de Telefónica, 300 dólares en bitcoins) para poder recuperar el acceso a los archivos cifrados por el propio ransomware. De no pagarse esta cantidad en el tiempo acordado (para Telefónica, en el plazo de tres días, prolongable a otros tres bajo la condición de un pago doble), todos los archivos son eliminados automáticamente.

Si el ordenador infectado forma parte de una red local, obviamente por los puertos anteriormente descritos, el virus se propagará, buscando ya cualquier sistema operativo Windows vulnerable sin la actualización pertinente.

De ahí los avisos de apagar todos los sistemas en las empresas afectadas.

 

¿Como se infectaron las redes de las empresas?  ¿Que era necesario?

Tres simples coyunturas que se dan en la mayoría de empresas lamentablemente:

a) Servidores y/o equipos:

    Windows Vista Service Pack 2
    Windows Server 2008 Service Pacl 2 y R2 Service Pack 1
    Windows 7
    Windows 8.1
    Windows RT 8.1
    Windows Server 2012 y R2
    Windows 10
    Windows Server 2016

Además de cualquier Linux, MAC que tuviese el servicio SMB activado y conectado a las redes. FYI

b) Que NO tuviesen la actualización pertinente anunciada en marzo y notificada a todos los gestores de sistemas.

c) y que estuviesen directamente conectados a internet sin ningún tipo de firewall y/o compartiendo ficheros a traves de SAMBA mediante internet sin más seguridad. (Servicio SMB afectado) (aquí viene la diferencia de securizar al máximo una red y no dejar la configuración por DEFECTO; el fabricante no puede realizar las instalaciones completas por nosotros los profesionales...)

Con eso era suficiente para desde internet, realizar el ataque e introducirse en la red de la víctima sin más trabajo que seguir las instrucciones de vulnerabilidad de Microsoft expuesta en Marzo.

Por tanto... "Entre todos la mataron y ella sola se murió"

 

¿Ataque de alto nivel?450 1000

Obviamente NO, usar una vulnerabilidad enunciada y explicada como explotarla por el fabricante, tan importante como SMB, era más que suficiente para poner en alerta a los SYSADMIN y/o poner en marcha un sistema de roll out crítico.

Unos cuantos chinos (que perfectamente pueden ser adolescentes) , con un software más o menos "habitual" en el underweb, con un dominio que ni siquiera habían registrado ( la noticia del héroe que registró el dominio y paró el ataque, perdónenme, pero a nosotros nos parece de risa :) , dado que con cerrar esos 4 puertos en una red afectada, todo ataque quedaba "paralizado" de inmediato.

¿Además de infectar aprox 200.000 dispositivos en el mundo, de un volumen total de dispositivos mundiales de...? pues eso :) miles de millones.

 

Entonces no es malo no? casi no ha pasado nada..

SI, es muy serio y sí es muy malo; dado que afecta directamente al core de cualquier compañía y/o usuario, sus datos. Si nos borran, nos roban o nos hacen desaparecer nuestros datos... realmente es una catástrofe.

Además de desconocer en "algunos" casos, si se ha podido descargar información a servidores externos de esas empresas, ese es el verdadero problema.

Tenemos que esperar a ver que explican los responsables de dichas empresas del ibex35, que se supone, disponen de herramientas más que suficientes para saber, si realmente se ha transferido y cuanta cantidad de datos a que ip del mundo.

¿Por ejemplo, desconocemos si el ordenador de algún responsable de cuentas de movistar ha sido afectado, que suele llevar un usuario así en su portatil? Obvio, datos personales, claves de acceso personales y de clientes, etc. y el personal técnico? que suele llevar en sus portatiles? pufff se ponen los pelos de punta.

Esperemos, que hayan seguido la senda del inicio del ataque y no se haya "profesionalizado".

Obviamente, quien no haya actualizado o revisado sus sistemas, deberia hacerlo ASAP y/o ponerse en contacto con profesionales para que les realicen las gestiones adecuadas en sus servidores.

 

A mi empresa le ha afectado. ¿Ahora que?

Seguramente si su empresa ha sido afectada, cumpliendo la ley, no debería tener mayores problemas que recuperar una copia de seguridad. ¿Cual es el problema?, que en España aún existen muchísimas empresas que no cumplen la ley en cuanto a sistemas de copia de seguridad y recuperaciones de ficheros.

Si existe copia, lo más recomendable es no pagar ningún rescate, recuperar copia de seguridad y parchear el agujero de seguridad y/o explicar al usuario que debe revisar antes de abrir un correo.

Si por el contrario, su empresa no cumple con este requisito básico, nuestro consejo sería ponerse en contacto con profesionales lo antes posible para valorar la recuperación de los ficheros antes de realizar la acción "controlada" del pago si fuese necesario como último recurso.

 

¿Por qué a mi empresa NO le ha afectado?

Seguramente su empresa haya tenido una de las dos medidas activas, es decir, el uso de SMB (Compartir ficheros mediante SAMBA) se realiza a través de la red interna exclusivamente, el administrador había actualizado correctamente en marzo los servicios, y además puede/podía tener un firewall independiente gestionado por una empresa de servicios, con lo que los puertos SMB siempre tienden a estar cerrados por motivos de seguridad.

Lo descrito aquí anteriormente es lo que ha ocurrido en muchísimas empresas que realizan correctamente su labor de gestión de sistemas y de seguridad, lamentablemente pueden/podemos ser afectados en cualquier momento de cualquier imprevisto. Ninguna empresa está exenta de ello.

 

Para una vez que los usuarios no tenemos/tienen la culpa...NO les olvidemos

Este ataque como hemos explicado, en cuanto a responsabilidad, podemos decir que mucho tanto por ciento recae en las personas que gestionamos sistemas. Que no olvidemos, que no existe sistema infalible ni seguro 100 %. Pero tenemos que luchar por conseguir el 70% sea como sea.

Cualquier profesional puede/podemos tener problemas y/o no haber pensado en alguna variable sobre las causas externas que pueden afectar a los sistemas en cualquiera de sus variantes.

Dicho lo cual, recordemos que más del 80% de los ataques y perdida de datos que se producen en las empresas tienen su origen en los USUARIOS.

Por tanto, creemos necesario recordad algunos consejos básicos, sobre uso del correo electrónico y ficheros no solicitados.

Recomendaciones Generales Usuarios:

  •     Evitar la navegación en sitios inseguros.

  •     Ni AEAT(Hacienda) ni un Banco, ni Apple, ni Spotify, ni Amazon, ni Google, etc.. nos pedirán nunca las claves por mail.

  •     Nadie os va a regalar ni un millón de euros, ni un viaje, ni un coche ni nada por estilo. NO seguir dichos links ni descargar ningún contenido.

  •     No abrir correos de dudosa procedencia (verificar dominio) en mostrar dirección.

  •     No abrir archivos adjuntos sospechosos en correos electrónicos.

  •     No hacer clic en enlaces desconocidos.

  •     No instalar aplicaciones sospechosas.

  •     Notificar inmediatamente al departamento de TI en caso de comportamiento anómalo en el equipo (lentitud, ventanas emergentes, etc.)

 

Ahh por cierto..SI...LOS MAC TAMBIEN TIENEN VIRUS...como los LINUX...como WINDOWS...como Android...como IOS....COMO TODOS, por tanto, tener un antivirus, tener el sistema operativo actualizado, minimiza en CUALQUIER plataforma los riesgos.

 

Si ha sido infectado y necesita soporte informático no dude en ponerse en contacto con nosotros...podemos ayudarle.

 

Las mejores opciones en Viagra genérico en Europa. Siga estas páginas para obtener las mejores opciones en su país. Qué es el Viagra genérico | Pilules de Viagra en France | Viagra rezeptfrei | Viagra kopen Online in Nederland | Le pillole di Viagra
X

Mantenimientos Informáticos a Empresas

Copyright Protegido por sus respectivos dueños.