Se revela la conversación en la que la agencia de viajes estadounidense CWT pagó unos 5.3 mil millones de wones tras ser atacada por ransomware

 (threadreaderapp.com)
13 puntos por xguru 2020-08-04 | 6 comentarios | Compartir por WhatsApp

  • Fue atacada por el ransomware Ragnar Locker y lo resolvió pagando $4.5M en bitcoin

  • Llama la atención que la negociación avance como si fuera una conversación entre socios de negocios

  1. Como 30 mil equipos fueron infectados, exigen $10M a cambio de descifrar todo y borrar de sus servidores los datos que descargaron

  2. Si lo comparan con las demandas legales o el daño reputacional que sufrirían si publicamos estos datos, esos diez millones ni siquiera son caros~

  3. Desbloquean “gratis” algunos archivos al azar para demostrar que realmente pueden descifrarlos

  4. Preguntan si $10M no les parece caro, diciendo que si responden en 2 días pueden hacerles un descuento especial

  5. (No aparece en pantalla, pero probablemente ofrecieron $8M con un 20% de descuento)

  6. $8M es difícil a menos que dupliquemos nuestros ingresos. El efectivo que podemos conseguir hoy mismo es solo $3.7M

  7. Ya les dimos un gran descuento del 20%, y quizá podríamos agregar como mucho otro 5%, pero a ese precio es difícil... ¿Qué tal si por unos $4M les damos primero el descifrador y el resto lo pagan después, mientras borramos los datos de ustedes que tenemos?

  8. Después del pago, les dieron consejos de seguridad diciendo: “Si quieren evitar que esto vuelva a pasar, les recomendamos hacer esto”

  • Desactiven las contraseñas locales.

  • Fuerzen el cierre de las sesiones de administrador.

  • En la directiva de grupo, configuren el valor de WDigest en 0. Si UseLogonCredential está en 0, no se guarda en memoria

  • Cambien las contraseñas cada mes.

  • Revisen y minimicen los permisos otorgados a los usuarios, y permitan acceso solo a las aplicaciones estrictamente necesarias

  • En la mayoría de los casos, algo como Applocker basta para protegerse

  • Aprueben la ejecución solo de las aplicaciones realmente necesarias

  • No confíen solo en el antivirus. Puede servir para infecciones o ataques de largo plazo, pero en la mayoría de los casos no ayuda mucho

  • Instalen EDR (Endpoint Detection and Response Security) y hagan que los administradores de TI lo usen

  • Para empresas grandes, recomiendan que al menos 3 administradores de sistemas trabajen 24 horas; con 4 administradores cubriendo turnos de 8 horas en 3 relevos al día debería ser suficiente

  • CWT es una empresa especializada en gestión de viajes corporativos para clientes B2B, que administra viajes de negocios, reuniones, incentivos y exposiciones. Fue fundada en 1994, opera en 145 países, tiene 18,000 empleados y sus ingresos anuales rondan los 1.8 billones de wones.

Lecturas relacionadas

6 comentarios

 
red123 2020-08-06

Algunos se matan trabajando para ganar dinero,

mientras otros ganan dinero quitándoselo a los demás jajaja
 
red123 2020-08-06

Qué publicidad tan metida con calzador para EDR, ¿qué onda? jajaja
 
sduck4 2020-08-04

Vaya consultoría de seguridad más cara.
 
ohjongin 2020-08-04

Parece ser un consejo de seguridad aplicable a Windows...
 
xguru 2020-08-04

Porque la mayoría del ransomware apunta a Windows, jaja.
 
xguru 2020-08-04

Hace poco Garmin también sufrió un ataque de ransomware y hubo un gran caos porque sus sistemas estuvieron apagados durante varios días; al final lo resolvieron pagando varios millones de dólares. Parece que, mientras más grande sea una empresa, más debería prestar atención a la seguridad.

https://engadget.com/garmin-cyber-attack-ransomware-payment-180211805.…