Foro de elhacker.net

Hace unos días (creoq ue el lunes pasado) la página web e infraestructura del SEPE se vieron afectados por un Ransomware.

https://es.wikipedia.org/wiki/Ransomware

A día de hoy no es posible realizar trámite alguno; ni siquiera de forma presencial.

(https://i.imgur.com/uIH6KMA.jpg)

(https://i.imgur.com/w8BrnMn.jpg)

Desde el SEPE afirman que están corrigiendo la situación, sin embargo los días pasan y nada cambia.
El Ransomware supuestamente tiene secuestradas sus bases de datos y los informáticosa del SEPE están intentado averiguar (eso dicen ellos) por donde penetró el Ransomware.
Hasta donde yo se únicamente es factible cuando alguien ejecuta un archivo o enlace maliciosos.
El Ransomware secuestra el ordenador que ha ejecutado la vía de acceso y después intenta expandirse al resto de la red; servidores incluidos.
Salvo que hubiera un sólo ordenador afectado dudo mucho que pudieran averiguar que persona metió la pata.
Con lo cual no entiendo la razón por la cual no han echado mano de la copias de seguridad y restaurado el sistema.

¿Me estoy perdiendo algo?

Hola, B€T€B€.

Desconozco hasta que punto la antigüedad de los sistemas del SEPE puede ser un impedimento para realizar y/o restaurar copias de seguridad,.

No obstante, y, por considerar, quisiera considerar algunas posibilidades  ralentizar/impedir poder utilizar las copias de seguridad (y que, por cierto, no necesariamente tienen que cumplirse) para restaurar los sistemas:

-La primera es que no puedan acceder a las copias de seguridad porque directamente no "existan" o porque estén corrompidas. Cosa que, por cierto, es algo improbable.

-La segunda es que las copias de seguridad no estén debidamente actualizadas por, digamos,, falta de recursos y/o por una "mala política" a la hora de realizar copias de seguridad..

De cualquier forma, quisiera insistir en que, por ahora, solo podemos "plantearnos" que puede haber pasado hasta que, bueno, los del SEPE aclaren la situacion (si es que llegan a hacerlo).

Muchas gracias por vuestra atencion, y, bueno, saludos.

No van a aclarar nada...

Claro, no puedes hacer trámites de forma presencial porque previamente tienes que pedir cita (y más desde lo del COVID), y como no puedes. Bueno, creo que aún se puede pedir por teléfono, no estoy seguro.


Tampoco entiendo que no hayan restaurado el sistema. Aunque pensando mal... ejem... ejemm ¿tenían copias de seguridad?.

Averiguar -si es que acaso se puede- por dónde entró el pufo yo lo considero secundario; lo primero restaurar el servicio y después... ya veremos.

Aunque considerando lo mal conformado que está el sistema y cómo son los funcionarios...  :silbar:... ya te digo yo lo que pasó (casi seguro y apostaría el cuello): alguien entre cafelito y cafelito entró en internet (que no debiera estar permitido en este tipo de aplicaciones/terminales/administraciones-públicas, pero que de hecho lo está por lo mal que está gestionado el sistema donde los ordenadores funcionan a la vez como terminales de organización y como ordenadores personales y cada cual hace de su capa un sayo), pues alguien -un funcionaio que estaba aburrido- entró a internet a pasar el rato hasta el siguiente cafelito (o tickar la hora de salida), pinchó donde no debía,... abrió lo que no debía y.... ¡voilá! metió el zorro en el gallinero. Apostaría que fue éso. Y como el sistema será tan chungo de no discriminar entre unas cosas y otras, pues....

Eso o enchufó un PINCHO (pendrive) en su ordenador.
A mi personalmente no afecta que el SEPE esté caído, pero es una vergüenza.

Desde luego que es una vergüenza, y de las gordas. A mi personalmente tampoco me afecta, pero es que lo j..o es que afecta a los que lo están pasando peor y los más vulnerables. Y precisamente por éso debieran ser los servicios mejor gestionados y en los que se pusiera más cuidado en que funcionasen como un reloj.

copias de seguridad que cogieron de archive.org del 28 de diciembre del 2020 que son copias de la cachè de Internet, por que ellos no tenían ni una simple copia de seguridad.

Los equipos tienen 30 años (alguno incluso más). Tengo un amigo que trabaja desde aquellos tiempos en el INEM SEPE y precisamente siempre se ha quejado de eso, de lo 'viejuno' de los equipos y la aparente falta de disponibilidad desde 'las alturas' para un cambio o al menos actualizarlos poco a poco... cada gobierno, cede la patata caliente al siguiente.

Lo primordial es ponerlo en marcha de nuevo, Supongo que los datos seguirán ahí, y simplemente sea el software el problema. Es decir el servidor/es principal/es...

mmm... si fuera Hacienda la que cayera, a buen seguro muchos se alegrarían... aunque supongo que también 'gozará' de nichos antiguos (se qué está más actualizado que otros ramos como el de Juticia que es el peor parado en cuando en cuanto a la urgencia por actualizar y digitalizar todo...).

p.d.: Si creo que el SEPE si ve de repente que le falta algún software, deberían indicarlo, porque muchos todavía conservamos el software (original, sí en diskettes) de otros tiempos...

No digas bobadas; es un tema serio.



Disculpa que ponga en duda lo de los 30 años.
Puede que algún ordenador tenga 30 años, pero el resto tendrán como mucho 20 años.
El hardware al fin y al cabo para lo que hacen en el SEPE con poca cosa basta.
Otra cosa es que haya interés en solucionar el problema...
Porque puestos a suponer hay quien dice que es un ataque de falsa bandera para...
La red de hacienda aguanta bien los golpes.

lo han estado diciendo en varios foros, aqui parte del codigo fuente donde se ve la fecha en la que fue cacheada la pagina.
 y el origen es internet archive y wayback machine

(https://www.burbuja.info/inmobiliaria/attachments/1615323053291-png.592900/)

¿Y...?
¿Que leches van a recuperar de ahí?
¿A caso crees que las bases de datos se pueden encontrar en Archive?

La página web si fue restaurada del archive.org (un intento de ello). Al menos las primeras horas se podía ver claramente en el source del HTML. Eso claramente indica que el servidor web también fue afectado con lo cual seguramente se han visto comprometidas varias bases de datos.

Se dice que las copias de seguridad también se han visto comprometidas y por eso no han podido tirar de ellas, de hecho hay capturas por ahí que muestran que fueron restauradas copias de hace más de 1 año.

Sea como fuese, no me explico como un ransomware llego hasta el servidor web. Tuvo que haber una serie de cagadas impresionantes para que llegase hasta ahí.

Saludos

Lo que yo digo...




Si llegó al servidor y accedió a las bases de datos yo diría que (es sólo una opinión) le han abierto la puerta al ransomware.
El ataque de falsa bandera del que he hablado antes.

Hola, yo creo que llegó de forma humana, uno se preocupa en solucionar el problema y encontrar el bug por donde se metió ese Ransomware, pero si alguien se puso a hacer cosas que no debía, como por ejemplo navegar, descargar cosas, entonces ese es el mayor agujero de seguridad, esa persona que hizo eso y hay que sacarlo de la empresa porque ya es un riesgo y un problema.

Por eso creo que deberían ver cómo ingresó ese Ransomware, por donde ingresó y a que hora ingreso para así poder saber quién lo hizo, a menos que nadie lo haya hecho y el malware haya entrado por si sólo.


Saludos

En 5 días han tenido tiempo más que de sobra...

nada, la pagina principal y poco mas, solo para que la gente cuando entrase vea algo.
logicamente ni login ni datos ni enlaces funcionan

Lo que han hecho es el ridículo.
Se les ha visto el plumero...
Y espérate que va para largo.

Estaría en la misma red local  :-X  :-X  :-X

Es verdad que restauraron una copia de la página web de archive.org (del 28 de diciembre xD), totalmente estática, lógicamente y luego la fueron editando para que no se notara mucho

Y también que usaban servidor web IIS 5.0, de hace 20 años. No digo más. Los ordenadores serían Windows 7  :laugh:

Lo último que he leído en los diarios:

El SEPE no tenía los certificados de seguridad exigidos por el CNI cuando sufrió el ciberataque - No cuenta con una estrategia de ciberseguridad adecuada a lo que establece la ley y una auditoría interna ya alertó en 2019 del "riesgo muy crítico" de seguridad

Los días pasan y seguimos igual...

(https://i.imgur.com/7yVxhpm.png)

Bueno, B€T€B€, por mi parte estoy empezando a dudar de si podrán arreglar el problema, y mas si tenemos en cuente que ya han pasado casi dos semanas del ataque, y, según parece, los del SEPE aun no se han podido "recuperar del todo" después de los daños causados (en teoría).

Muchas gracias por vuestra atención, y, bueno, saludos.

Yo opino que no pueden, ni quieren; así de simple.

Coincido con esa respuesta, además de que no saben cómo recuperar el sitio, tampoco tienen la información porque pareciera ser que no tenían copias de seguridad.

Por otro lado tampoco se calientan en solucionar el problema, no hay interés.


Saludos