Amenaza cómica de Ransomware + DDoS

Hoy nos llega un correo que nos apetecía abrir para comentar, entre la precaución y la risa hemos preferido publicarlo y comentarlo un poco. Es corto, preste atención a la redacción en inglés.

Vayamos por partes:

Se hacen llamar Meridian Collective (encantados de conocerles) y han seleccionado nuestra web / red como objetivo para su siguiente (¿ha habido algún otro?) ataque DDoS (¡qué honor! ¡hemos sido seleccionados!)

  1. Dicen que nuestro sistema de seguridad funciona muy mal (tanto como su nivel de inglés, pero, oigan, agradecidos por hacernos una auditoría)
  2. El Viernes 16 a las 20h atacarán nuestros servidores y equipos (umm… si los encuentran, estaremos encantados de saber que tenemos todo eso)
  3. Van a realizar un poderoso ataque DDoS de hasta 300Gbps, oigan, ¡queremos verlo!
  4. ¿nuestros servidores hackearán la base de datos que está dañada? (ay ay ay, el nivel de inglés va empeorando, pero haciendo un esfuerzo, podemos entenderles)
  5. Que todos los datos serán encriptados en los ordenadores con algún Crypto-Ransomware, pero, nuestra pregunta ¿antes o después de que tumben los ordenadores con el super-mega-tremendo DDoS. Si es después, lo vemos difícil, porque los equipos andarán caídos, si es antes … oigan, calculen el tiempo de encriptación efectivo para lanzar luego el DDoS
  6. Que sí, que sí, que si pagamos 1 Bitcoin todos amigos, pero en su lista, después del 5 va el 6 y no el 4 otra vez ¿han visto alguna vez Barrio Sésamo?
  7. ¡Ah! que tenemos tiempo para pagar, que si no lo hacemos la cosa se pone fea y nos subirán a 10 Bitcoins, ¡uish! ¡menuda cotización la suya!
  8. ¡Olé! después del pago nos ayudan a conocer los fallos de nuestros sistemas y todo, ¿una auditoría por 1 Bitcoin? ¿por qué no han comenzado por ahí? ¡Menudo regalo!

Bueno, una vez superadas las risas y el nivel de inglés que gasta esta gente, sólo queda esperar al Viernes para ver caer nuestro simple Blog, agradecerles el detallazo de encontrar vulnerabilidades en los sistemas de nuestro Hosting y todo eso. Ya tenemos nuestra copia de seguridad, no sea que, a pesar del nivelazo de inglés, estos caballeros vayan en serio y la armen gorda.

Recogemos el guante Señores de Meridian Collective, aunque no se produzca nada el día en cuestión, apoyaríamos una colecta de 1€ de todos nuestros lectores para pagar un curso completo de Inglés a estos comediantes del ciberespacio. En el caso que algo suceda, pues nada Señores, copia de seguridad, protección y blah… blah… blah…

La paz sea con todos, amigos.

La importancia de un buen mantenimiento de equipos

En ocasiones, un simple recalentamiento de un componente básico en un equipo (sea de trabajo, doméstico, un gran servidor, etc…) puede dar al traste con el trabajo de años.

Hoy nos gustaría realzar la importancia de tener los equipos informáticos al día (no sólo a nivel de software), su limpieza interna, condiciones de trabajo, entorno, etc… es primordial para su buen funcionamiento.

Presentamos una imagen típica en equipos que no han tenido un mantenimiento constante, el de la foto, apenas ha estado sin limpiar un año y medio, y … éste ha sido su resultado en el radiador del procesador:

Como se puede ver en la imagen, el ventilador apenas tenía efecto de enfriamiento sobre el radiador debido a que, éste, estaba completamente cubierto por una capa de polvo y suciedad. El equipo no mostraba apenas síntomas ni problemas, comenzaba a funcionar algo más lento, pero quizás no sólo por esta razón.

Pasamos a otra imagen, ésta referente al radiador-ventilador de la tarjeta gráfica del mismo equipo:

Algo similar a la imagen anterior, un problema tener así la refrigeración gráfica, cercano a la fase crítica o fallo inminente.

Es por ello que, máxime en temporada de alza de temperaturas, los equipos deben ser revisados a conciencia para alargar su vida útil, su correcto funcionamiento y rendimiento, así como preservar la información frente a una corrupción de datos por exceso de temperatura de un procesador.

Son revisiones fáciles, evitan males mayores, un componente de 5€ dañado puede arruinar un equipo de varios cientos de Euros, desde un daño irreversible a un procesador, un fallo de placa, un daño generalizado en la estructura de ficheros, etc…

No lo dude, contrate un mantenimiento, realícelo Usted mismo, pero … tenga sus equipos ‘frescos’ y al día (portátiles incluidos).

Vuelva Usted mañana

En pleno siglo XXI podemos sentir todavía la ironía y buen hacer del gran Mariano José de Larra (1809-1837) con uno de sus famosos artículos, el de ‘Vuelva Usted mañana’ (El pobrecito hablador: revista satírica de costumbres)

Resulta que ciertas incidencias técnicas en pleno siglo XXI siguen el curso de la espera y desesperación, desinformación, desprecio al cliente y demás. Hoy nos hacemos eco de un problema técnico en uno de nuestros clientes, que ha sufrido el corte del suministro de fibra óptica durante más de 24h, lo cual, puede pasar, sí, evidentemente, hay causas naturales, sobrenaturales, complejidades y demás, pero … analicemos:

Resulta que para llamar a esta compañía como usuario de empresa hay un par de teléfonos, uno es al que se puede llamar sólo desde la red de la misma compañía, mal empezamos y otro es al que se puede llamar pero semi-vetado (un compañero con su red móvil no podía y nosotros con la nuestra sí)

Primer paso solventado, llamamos, atiende la típica locución solicitando el número asociado a la línea con la ‘posible’ incidencia, tecleamos y, efectivamente, una nueva locución nos confirma que hay avería en la zona, los técnicos trabajan en ello (a las 13:00h con prácticamente dos horas sufriendo la incidencia)

Probamos a las 16:40, con idéntico resultado (locución = vuelva Usted mañana, ya le avisaremos cuando se arregle)

Insistimos, queremos saber más, tenemos un problema, a ellos no les importa, no pierden dinero, a nosotros sí, es un negocio que requiere conectividad, probamos a las 16:45 con la sorpresa que no hay locución, ohhhh, tenemos a una operadora al otro lado.

Nos piden de nuevo el teléfono asociado a la línea, no coincide con el que pensamos, miran por CIF, dicen que con ese CIF no hay más que una fibra y no está afectada ni en la calle que decimos nosotros (¡Madre de Dios! ¡tanto ordenador, base de datos, etc… para decir semejante chorrada!), discrepamos e insistimos, dice algo así como ‘aquí hay algo raro, espere’, a la espera 5 minutos, nos redirigen a otra operadora a la que nos dicen digamos un número fijo que no conocemos, de acuerdo, seguimos el proceso.

La nueva operadora revisa, pregunta el número, se lo repetimos, nos lo ha dicho su compañera, se queda sorprendida, pasamos a la fase ‘tonta’ de conversación, toca teclas y teclas y nos dice categóricamente lo mismo que la locución automática ‘hay avería en la zona y los técnicos están trabajando para solucionarlo’. Le insistimos en que nos tienen que dar solución, se limita a decirnos que ‘es lo que le puedo decir, no hay plazo establecido, los técnicos no nos han comunicado más detalles’. Es decir, vuelva Usted mañana, aguántese su problema, negocio, a nosotros nos importa un pepino, somos una operadora bien cara con gran infraestructura pero no sabemos dar detalle alguno.

Damos por perdida la tarde, con gran perjuicio y llegamos a hoy, nos entra una locución directa al móvil a las 9:05 (casi 24h de incidencia) diciendo que la avería está solucionada (sic) … rápido probamos acceso a los sistemas y … no, todo sigue igual, han mentido, no han reparado nada.

Pasan tres horas más, son las 12:15, llega un SMS con lo mismo, están trabajando en la solución de la incidencia que afecta a la línea de fibra (¿en qué quedamos, está o no está la cosa solucionada?), no tienen la suficiente vergüenza de llamar como gente responsable y cuidadosa de sus clientes para disculparse en persona, no … ahora con SMS, ridículo. Otro vuelva Usted mañana.

¡Sorpresa! 12:30, nuestros propios sistemas cogen red y nos notifican la vuelta de la línea a la actividad … pero … ahora ya son las 22:35 y NADIE ha llamado para:

  • Disculparse
  • Informar
  • Notificar algún tipo de compensación
  • ¡Oh! ni siquiera el famoso cuestionario de satisfacción de cliente, ¿qué pasa? ¿cuándo hay incidencias no se realizan cuestionarios que dañen la imagen? Interesante, sólo los realizan cuando venden su producto. Lamentable.

No ponemos nombre a la compañía que suministra la línea de fibra, probablemente suceda con las tres o cuatro que suministran a nivel nacional lo mismo, el patio está cerrado, no se puede ensalzar a unos ni a otros, no hay una competencia válida que se diferencie en estas ‘pequeñas’ cosas. En tanto su mercado sea sólo vender y cobrar, las incidencias siempre seguirán el mismo patrón.

Mariano, Mariano ¡qué grande fuiste en tu corta vida! casi 200 años después TODO sigue igual. Gente perezosa, vaga, procesos que no funcionan, pocas ganas, falta de atención, un sinfín de cosas que la tecnología, por lo visto, no ha mejorado.

Hagan juego Señores ¿qué será lo próximo?

Mientras medio mundo anda reorganizándose tras WannaCry, parcheando todos aquellos sistemas vulnerables y esperando la oleada de su nueva versión, WikiLeaks revela AfterMidnight y Assassin (cuyos nombres no inspiran nada bueno)

El primero, básicamente, consiste en una DLL que funciona como una puerta trasera (backdoor), dependiente de una conexión permanente, se conecta vía HTTPS a un C&C para descargar módulos que ejecuta (los módulos reciben el nombre de Gremlins o Gremlimware). Tiene la capacidad para detener procesos activos, ralentizar procesos de sistema y, también, bloquearlos.

El segundo, es muy similar al primero, es un framework malicioso, incluye un compilador, un implante, un servidor C&C y un puerto de escucha que permite la comunicación entre el implante Assassin y el C&C. Está diseñado para estar a la escucha, robar información, ejecutar tareas precisas, etc…

Dos bichos interesantes ¿verdad? sólo queda por ver cómo algún “genio” malicioso saca provecho de estas herramientas creadas por la CIA (muchas gracias NSA, CIA y demás por tenernos controlados durante tanto tiempo con este tipo de herramientas, ahora los chicos malos jugarán con ellas durante mucho tiempo)

Por cierto, Shadow Brokers amenazan con publicar numerosos exploits que afectan a routers, móviles, Windows 10, datos comprometidos de proveedores de la red SWIFT y bancos centrales, también datos comprometidos de la red de las armas nucleares rusas, chinas, iraníes o norcoreanas y programas de misiles (esto ya da auténtico pánico)

En fin, lo de siempre, buena suerte y copias de seguridad al día. Hagan juego Señores, las apuestas de los malignos son cada vez más fuertes.

¿Ya ha parcheado sus sistemas frente a WannaCry v1.0?

Sólo a partir de este lunes veremos la continuación en la escalada de víctimas del monumental ataque ransomware pasado.

Tal como MalwareTechBlog comenta, la versión 1.0 se ha podido parar, ganar tiempo para corregir, salvar equipos, etc… pero ¿qué ocurre con las próximas versiones que van a llegar? ¿está preparado? no espere, que llegará antes de lo previsto.

Este fin de semana, los departamentos técnicos de las compañías afectadas (y no afectadas) han estado trabajando para recuperar equipos (los unos) y para prevenir (los otros) nuevos ataques con este tipo de vulnerabilidad conocida …

¿Se ha preparado para ello? ¿ha consultado la solución? es trivial y fácil, conocida, pero … si no lo ha hecho, sigue en riesgo para la misma versión de ransomware (que incorpora un worm que, precisamente, explota dicha vulnerabilidad y se replica y replica)

No es cuestión de echar culpas, Microsoft ya sacó el parche antes de que esto sucediera, los antivirus alertan de que su sistema no está actualizado pero no previenen estos ataques, ninguno lo ha hecho, esto es el inicio de una nueva forma de caos, infectar y dañar SIN acción humana (un simple acceso RDP mal protegido puede ser la entrada), secuestrar información de una nueva manera, aprovechando una vulnerabilidad conocida.

¿Culpables? bueno, la NSA creó la primera utilidad para explotar esta vulnerabilidad, un conocido grupo anónimo propició su difusión a través de Wikileaks, el resto … ya es conocido, mercado negro, ataque a gran escala, unos se forran y otros se lamentan. Quien se ríe de que han conseguido pocos ingresos a juzgar por la escala de incidencia, se equivocan, conseguir 30.000$ (según dicen) sin apenas esfuerzo es un buen pellizco ¿no? ¿es poco rentable?

Incidimos en la pregunta, ¿está preparado para un segundo ataque?, de acuerdo, cambiaremos la pregunta, ¿ya tiene su sistema de contingencia y plan de seguridad para cuando ello ocurra?

Imagine la situación, llega a las 8 de la mañana como todos los días a su oficina, enciende su ordenador, sus empleados y/o compañeros hacen lo mismo, toman algún café y charlan acerca de mil cosas, del fin de semana, del fútbol, etc… y suena una voz de fondo que dice “¡Oh Dios mío! mi ordenador, me sale un mensaje raro”

Esperemos no le llegue una situación similar, mientras tanto, comience a profundizar su interés por conceptos como Data Center, Copias Remotas, Virtualización de Servidores y/o equipos, Sistemas Redundantes, Réplicas, etc… (sí, claro, negocios paralelos, es inevitable una cosa sin la otra)