Slo-Tech - Druga največja banka v Čilu, BancoEstado, je včeraj zaradi hekerskega napada zaprla vse poslovalnice v državi, so sporočili iz te južnoameriške države. Napad se je zgodil konec tedna in je po neuradnih podatkih potekal z izsiljevalsko programsko opremo REvil (Sodinokibi). Kot kažejo prve informacije, se je začel kot večina tovrstnih vdorov. Zaposleni je prejel okužen Officeov dokument, ki ga je odprl in s tem omogočil hekerjem stranska vrata za vstop. V noči s petka na soboto so napadalci ta vrata izkoristili za dostop do omrežja in namestitev REvila. Zaposleni, ki so delali med vikendom, so v soboto zjutraj ugotovili, da do svojih datotek niso imeli dostopa, ker jih je virus zašifriral.
Cel vikend je potekala operacija reševanja, a do ponedeljka ni uspela, zato so morali napad priznati javnosti. To so storili že v nedeljo, še dan prej pa so obvestili organe pregona in finančnega regulatorja. Po neuradnih podatkih naj bi izsiljevalska koda uspešno zašifrirala večino podatkov na strežnikih in delovnih postajah zaposlenih, skupno več kot 15.000 računalnikov.. Ker so imeli omrežja ustrezno ločena, spletna stran, e-bančništvo, mobilne aplikacije in mreža bankomatov niso prizadeti.
Zanimivo bo spremljati, ali se bo ime BancoEstado pojavilo na spletni strani, kjer člani skupine REvil objavijo dokumente žrtev, ki niso želele plačati odkupnine. BancoEstado molči glede vprašanja, ali se z napadalci še pogajajo ali pa so odkupnino nemara že plačali. Po neuradnih podatkih hekerji zahtevajo devet milijonov dolarjev. Danes so odprli manjši delež poslovalnic (60 od 416), kar priča o resnosti napada, pišejo lokalni mediji.
Ker so imeli omrežja ustrezno ločena, spletna stran, e-bančništvo, mobilne aplikacije in mreža bankomatov niso prizadeti.
Če bi imeli USTREZNO ločena omrežja, potem se nadloga nebi razpasla preko vseh podružnic! Da ni prizadelo še bankomatov, spletno stran in e-bančništvo, je prej posledica diverzitete sistemov in sreče, kakor pa 'ustreznega ločevanja'.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
Ker so imeli omrežja ustrezno ločena, spletna stran, e-bančništvo, mobilne aplikacije in mreža bankomatov niso prizadeti.
Če bi imeli USTREZNO ločena omrežja, potem se nadloga nebi razpasla preko vseh podružnic! Da ni prizadelo še bankomatov, spletno stran in e-bančništvo, je prej posledica diverzitete sistemov in sreče, kakor pa 'ustreznega ločevanja'.
To sicer na pamet govoriš. Sicer poznam eno veliko firmo (iz Španije), ki je opravljala storitve v Bruslju za več velikih firm. Zaposlenka v Bruslju je odprla nek mail, fasala custom-made virus, ki ga ni zaznal noben anitvirusni program. Zapovrh je bilo še nekaj socialnega inženiringa, nekdo je menda klical na firmo, nekaj ji je naložil po telefonu in ona je pričakovala mail od te osebe. Virus se je razširil v Španijo, tam haral z 0-day exploitom, vse zaklenil. Ob 12h smo morali izklopiti (preventivno) vse mreže od centralnega VPN omrežja. Nam (ki smo bili stranke te španske firme) ni bilo nič, je pa menda fasalo več deset omrežij po Franciji, Nizozemski in Belgiji.
Potem so vse PCje preskenirali (nikjer ni bilo nič) in eni razvijalci so vzeli dol nek tečen antivirusni program (ki itak ni zaznal grožnje), od takrat smo ga dali gor pod obvezno, na vse.
Tako da.... Tudi v jedrni Evropi (kobajagi jedrna) se hitro pozaklene 700+ računalnikov.
Ker so imeli omrežja ustrezno ločena, spletna stran, e-bančništvo, mobilne aplikacije in mreža bankomatov niso prizadeti.
Če bi imeli USTREZNO ločena omrežja, potem se nadloga nebi razpasla preko vseh podružnic! Da ni prizadelo še bankomatov, spletno stran in e-bančništvo, je prej posledica diverzitete sistemov in sreče, kakor pa 'ustreznega ločevanja'.
To sicer na pamet govoriš. Sicer poznam eno veliko firmo (iz Španije), ki je opravljala storitve v Bruslju za več velikih firm. Zaposlenka v Bruslju je odprla nek mail, fasala custom-made virus, ki ga ni zaznal noben anitvirusni program. Zapovrh je bilo še nekaj socialnega inženiringa, nekdo je menda klical na firmo, nekaj ji je naložil po telefonu in ona je pričakovala mail od te osebe. Virus se je razširil v Španijo, tam haral z 0-day exploitom, vse zaklenil. Ob 12h smo morali izklopiti (preventivno) vse mreže od centralnega VPN omrežja. Nam (ki smo bili stranke te španske firme) ni bilo nič, je pa menda fasalo več deset omrežij po Franciji, Nizozemski in Belgiji.
Potem so vse PCje preskenirali (nikjer ni bilo nič) in eni razvijalci so vzeli dol nek tečen antivirusni program (ki itak ni zaznal grožnje), od takrat smo ga dali gor pod obvezno, na vse.
Tako da.... Tudi v jedrni Evropi (kobajagi jedrna) se hitro pozaklene 700+ računalnikov.
Saj nisem trdil, da se to 'dogaja' - nasprotno - take dogodke videvamo kar naprej, kot da se nihče ni ničesar naučil iz napak drugih!
BISTVO tega, da se ti 'črvi' (=lastnost virusa, da se sam širi po omrežju) lahko širijo iz podružnice v podružnico, ene države v drugo državo omrežja podjetja je preveč poenostavljeno upravljanje z VPN povezavami med lokacijami.
Večina VPN povezav, ki se vzpostavljajo v takih omrežjih se fokusira zgolj na tunnel routing. Ko pa pridemo do omejevanja prometa preko VPN, pa se le redko kdo potrudi, da bi omejil promet (IP naslove in porte) izključno na tiste, ki so za poslovanje nujno potrebni. Za kaj takega bi namreč moral zavihati rokave, preučiti kaj so dejanske potrebe poslovanja (malo pogledat in analizirat loge?), nato pa ustrezno dopolniti pravila na routerjih oz. požarnih pregradah.
Če je upravljavec zunanji, potem seveda mora to nekdo plačati... ker se pa špara, upravljavec pa ne dela nečesa za kar ni bil plačan,.....pa se potem rado dogajajo takšna presenečenja, katera v bistvu nikogar nebi smela presenetiti.
Predvsem preko VPN v takem omrežju nebi smeli dovoljevati SMB protokolov, ki kar sami po sebi kličejo po tem, da se bodo tovrstne masovne okužbe dogajale. Seveda je lahko še kakšen drug protokol bil komprimitiran, ampak večinoma smo v zadnjih letih tega videl kot 'enablerja'.
In resno - zakaj potrebuješ SMB v VPN omrežju? Zaradi lenobe administratorjev?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)
