09 diciembre 2014

Las filtraciones de Sony Pictures Entertainment

Finalmente "GOP" está materializando su amenaza. Ya han liberado hasta en cinco ocasiones decenas de gigas de información de Sony Pictures, Entre estos datos hay ficheros como por ejemplo "Apascal.ost" con un tamaño de 3.78Gb y que contiene el correo electrónico profesional y personal, hasta el 23 de Noviembre de 2014, de Amy Pascal, la Co-Chairman de SPE y Chairman de SPEMPG



Al poco tiempo de que Guardians of Peace efectuara la amenaza se filtraron varias películas en Internet, como "Fury", "Annie", "Mr Turner" y "Still Alice", algo que tampoco es tan anormal teniendo en cuenta que sus estrenos estaban próximos. Después de esto se han publicado en páginas  de descargas directas ficheros internos de la compañía tal y como advirtieron.

La primera publicación se realizó el 1 de diciembre, mediante un anuncio en pastebin.com. Publicaron 26Gb con 33.000 ficheros que contienen datos personales de empleados, contraseñas en texto claro y salarios entre otras cosas.

Sony confirmó que los ficheros son auténticos.

La segunda ocasión fue dos días después, el 3 de diciembre,  1.18Gb de información y dos ficheros: "bonus.rar" y "list.rar", ambos con datos mucho más sensibles como certificados de servidores y unas quinientas contraseñas para administrar los sistemas y sus aplicaciones y bases de datos en texto claro.

Uno de los ficheros con contraseñas.
El día 4 de diciembre,  se empieza a señalar (fuente re/code) como culpable a Corea del Norte, ya que Sony Pictures estrena una película: "The interview" que es considerada como terrorismo por el gobierno norcoreano. Esta noticia coincide con la alerta por el FBI de un malware que coincide con lo ocurrido en Sony.

La tercera publicación ocurre el 5 de diciembre con otro comunicado y más enlaces en pastebin. 22 ficheros y 100Gb de datos financieros como forecasts, cierres de año, presupuestos, contratos, incidentes...

Tercer comunicado en pastebin.


Ese mismo día, un investigador avisa por Twitter de que el FBI le ha ido a buscar a casa por descargarse el contenido publicado.

Toc-Toc

Mientras tanto Los Angeles Times publica una noticia sobre un correo que han recibido los empleados de SPE y que les solicita que se desvinculen de la compañía o ellos y sus familias estarán en peligro.

Bloomberg especula que la primera filtración se hizo desde un hotel en Tailandia.


Torrent servido desde Tailandia


El 8 de diciembre vuelven las filtraciones, la cuarta con 4 ficheros que suman 2.8Gb y otra comunicación distinta con un mensaje que menciona los motivos del ataque y la película "The Interview", aunque se desconoce si es o no real.


En esta última filtración se encuentran los ficheros de correo de Amy Pascal (Apascal1.ost) con más de 5.000 correos distintos y otro fichero aun desconocido (moskos.ost)

Actualmente se siguen analizando ficheros y el malware que se ha utlizado por las compañías antivirus, así que próximamente tendremos más información.

53 comments :

minsqui dijo...

Y parecía que iba a quedar todo en nada... menuda avería le han hecho.

Anonymous dijo...

A mí me parece increíble que los "hackers" que presumen de no hacer daño y sólo avisar de vulnerabilidades luego las aprovechen para chantajear, sea a una empresa o a un particular y luego van dando lecciones de que si los gobiernos "espían", me parece un insulto a la inteligencia.

Alberto Gago dijo...

Acaba de confirmarme un colega que hoy se ha producido un nuevo ataque de cifrado. Si el servidor correos24.net está OFF, está claro que han levantado otro servidor para seguir con el baile. Mañana me informarán (espero) de cuál es el nuevo servidor.

Ser Eiro dijo...

En realidad es un ejecutable con el icono de un pdf, de hecho si que levanta sospecha, por lo que veo no es el icono habitual, pero te tienes que fijar en la extensión y eso, para el usuario medio, es pedir mucho, sobretodo con el windows por defecto que las oculta para ser mas amigable.

Cysiacom dijo...

Nuestra experiencia en un cliente:


Situación: Múltiples equipos con XP, W7, W8 y W Bussines Server
Antivirus: Panda varias versiones
Virus: Sin identificar por completo pero con mismo patrón de comportamiento.
Fecha de infección: Jueves 04.
Efectos: Archivos cifrados con nombre.[secuencianumérica]-decode@india.com por ejemplo fichero.pdf.1231231231234-decode@india.com


Archivos recuperados hoy (09/12/2014) con Shadow Explorer (http://www.shadowexplorer.com/) en los W7 y W2011 Bussines Server
Al parecer el bicho no había borrado la Shadow Copy de estos equipos y hemos recuperado los archivos justo antes de la infección. Si la infección se produce a las 10:00 AM hemos conseguido recuperar los archivos del mismo día a las 09:50.
En los más críticos hemos recuperado varias gigas de datos.


Si podéis intentar la recuperación con Shadow Explorer no dejéis de hacerlo.
Es realmente sencillo de efectuar (http://www.shadowexplorer.com/documentation/manual.html)


El resto va a tener que ir desde el último backup del cliente.

Anon dijo...

Hola. Una duda. Entiendo por lo que he leído que hay una clave privada que este virus genera en el servidor de los malos y que es la que estos te proporcionan al pagar el "rescate". Mi pregunta es la siguiente. Si el servidor web (ojo, no me refiero a la falsa página web de correos) donde se genera esa clave privada es clausurado por las fuerzas del orden ¿Que capacidad de encriptación le queda al virus? Quiero decir,¿el virus deja de ser funcional? ¿O sigue provocando algún daño a nuevos usuarios que se infecten una vez ya cerrado dicho servidor?. Gracias. Saludos.

vistoenlared dijo...

No mezcles, estos son solo delicuentes

vistoenlared dijo...

Y el lunes 8 conseguieron, (otra vez), tumbar el servicio de Playstation network... Le crecen los problemas a Sony

Juan dijo...

Buenas, estos dicen que en un día probando claves se saca http://vinsula.com/security-tools/unlock-zerolocker/


Esa es la única solución.


Los que han pagado poner porfa la longitud de la clave!


Gracias,

Isabel dijo...

Buenos días,
gracias por compartir. He bajado el shadow pero solamente dispone la fecha de abril, no posterior. Hay algún método para recuperar archivos posteriores?
Gracias por vuestra ayuda!!!

Oscar dijo...

Buenas, ¿algo nuevo sobre este tema?¿Alguna manera de desencrytar los archivos infectados??

Anon dijo...

¿Alguien se anima a responderme? Creo que la pregunta que he hecho es bastante interesante y puede ser de interés para mucha gente.

muriel dijo...

No se debe confundir ciberdelincuentes con hackers!!

Sanka dijo...

solo se que los informaticos de mi trabajo "dicen" que el virus lo han eliminado... todavia tenemos encriptados los archivos, se han dado tiempo hasta mañana... al final terminaremos pagando... es el trabajo de 25 años.

Sanka dijo...

a nosotros nos infectaron el jueves 4, mañana vamos a intentar pagar , asi que ya os dire si se puede o no

Anon dijo...

Gracias por la respuesta, pero (no te ofendas) no tiene mucha relación con lo que yo estoy preguntando.

Y por cierto, con casos como el tuyo (o el de tu empresa) se le ponen a uno los pelos de punta ¿Cómo no tenéis copias de seguridad en unidades offline, cintas, en la nube, etc?. Es una locura...

Frodo dijo...

Lo más seguro es que sí tenían copias de seguridad offline o unidades de red con backup... pero muchos "usuarios" prefieren guardar esos ficheros importantes en carpetas ubicadas en el disco duro de sus respectivas estaciones de trabajo. :P Nos ha pasado a nosotros en Hobbiton. (If you know what I mean ;-) )

Sanka dijo...

eso mismo pense yo... los discos de copias de seguridad estaban enchufados al servidor.... tambien las encripto....
hasta en mi casa tengo un disco externo con copia de todo el ordenador... es increible... pero es lo que hay

Anon dijo...

No, I don't know what you mean by Hobbiton. Could you explain it? :-O

Anon dijo...

O sea que cifró todo lo habido y por haber...¡Vaya putada!

Y por ejemplo, en tu caso el disco de tu casa que comentas, deberías tenerlo desenchufado para que la infección no le afecte llegado el caso. Por eso es conveniente tener siempre 2 discos duros con exactamente la misma información. Por si uno sufre algún percance, que la segunda unidad (que siempre mantendremos desconectada, salvo cuando necesitemos sincronizarlos) nos permita recuperar la información.

Yo alguna vez me he planteado el montarme un NAS y tras mucho pensarlo he dicho: NO. ¿Qué sentido tiene que te montes un NAS o un RAID con 25 discos redundantes (por decir un número) si al final los tienes todos conectados a la luz simultáneamente? Un virus de estos o una subida de tensión puede acabar con todos ellos...¡a la vez!

Xhen dijo...

Si utilizaras linux no habria pasado, el 90% de los requerimientos basicos de un pc en casa estan cubierto con Linux, animate ;) por ejemplo linux Mint

Sanka dijo...

la desesperación y el "quedarte sin empresa" es lo que te llega a pagar, el trabajo de toda tu vida, mas de 20 años, la contabilidad a punto de terminar el año, los clientes que no sabes que tienes que cobrar (los proveedores ya se encargaran ellos de llamarte)..... NO TE PARECEN RAZONES SUFICIENTES? Y por supuesto que creo que no deberíamos pagar, del "pensar" al "hecho" hay mucho trecho... que no te pase majo!!! que ya te darás cuenta solito lo que lleva a una empresa a pagar....Una mala comparacion:; si te secuestran a un familiar que haces ? pagas?...

Ser Eiro dijo...

Por curiosidad y por lo que comentas, entiendo que has debido pagar, te han devuelto los archivos secuestrados? Depende del caso puede salir a cuenta, pero veo pocas garantías de que cumplan y me llama la atención que la gente pague, en un secuestro humano es diferente, entran muchos factores en juego. En este caso yo no pagaría, pero en mi caso no hablamos de datos tan valiosos.
De todas formas si algo positivo hay en todo esto, es que algunos se pondrán las pilas a partir de ahora en cumplir con una de las reglas principales para prevenir disgustos en esta nuestra informatica. Hacer un backup con frecuencia y asegurarse de que se puede restaurar.
Al final no es tanto dinero para una empresa tener una política decente de backup, que luego pasan estas cosas y todo el mundo se lleva las manos a la cabeza... pero cuando toca ahorrarse unos euros en harware y alguien que lo verifique, ahi se apuntan muchos al carro, pues nada ahora a pagar a la mafia toca, pero conmigo que no cuenten que yo tengo backup, al igual que mis clientes si se preocupan de pedirlo ;-)

Claudia Varinia dijo...

los delincuentes son los de sony cuando acosaban a geohot

Sanka dijo...

si no quedan mas recursos... pagando si recuperas todos los archivos, a 13 dias de la infeccion del virus, no digo que este bien hacerlo, pero nos tendrian que haber visto las caras hoy.... esta noche dormimos!!!

Belen dijo...

Lo habéis hecho desde el mismo IP donde se infectó? Habíais estado trabajando con el ordenador todo este tiempo? Os ruego me contestéis. Llevo tambien 13 dias y me va a dar algo...estoy pensando en pagar tambien. Gracias

Sanka dijo...

si, se hizo desde el mismo ordenador , a nosotros nos infecto la red, los informaticos dijeron que el virus ya lo habian localizado y eliminado hace 10 dias por lo menos, estuvimos sin trabajar practicamente desde el dia 3, y te entiendo cuando dices que te va a dar algo, nosotros estabamos igual, al final la empresa decidio pagar, aparentemente todos los archivos estan bien, todo desencriptados, ya veremos mañana cuando realmente nos pongamos a trabajar en serio.

Sanka dijo...

no han cerrado los servidores, todavía se puede pagar

Sanka dijo...

han devuelto todos los archivos, por suerte han cumplido......

Belen dijo...

Gracias , me puedes decir como se mete el dinero en el monedero? Hay que ir a un banco?

Sanka dijo...

yo no lo hice, pero creo que hay que abrir una cuenta , de todas formas lee la informacion de este portal creo que lo explica

Sanka dijo...

se hace a traves de internet, no tienes que ir a ningun banco

Sanka dijo...

a traves de wallet, billetera electronica

Belen dijo...

Gracias, pero lo hemos hecho por Dr, Web!!!! Recupere los archivos

Belen dijo...

Me los ha desencriptado Dr. Web!!!!

José Manuel dijo...

Perdona Belén, mi PC también se infectó, eliminé el virus y me quedé con los ficheros encriptados. Podrías, por favor,explicarme algo más de como has conseguido desencriptarlos ¿Dr.Web?, no soy muy ducho en estos temas.
Agradecido

Sanka dijo...

lamentable tener que pagar, pero me alegro que hayas recuperado los archivos

Belen dijo...

Me lo hizo el informatico del trabajo. Ve a la pagina de Dr. Web , por lo visto te tienes que registrar y pagar unos 20€ por una licencia. Mañana me puedo enterar de mas, solo se que son unos rusos que tienen sistemas antivirus y que ha funcionado. Si tienes posibilidad de que te lo haga un informatico quizas sea lo mejor. Suerte!!!

Belen dijo...

Gracias, como tu decías hace un par de dias esta noche duermo!!!

José Manuel dijo...

Muchas gracias, intentaré ese procedimiento.

Jesús dijo...

Puedes explicar algo más relativo a cómo has logrado descifrar los archivos?.
Yo me he bajado el Dr. Web gratuito, le he metido un .exe.encrypted y no lo detecta ni como virus... así que ya me contarás...

Jesús dijo...

¿Lo has conseguido?. Se agradecen los comentarios... a ver si podemos arreglarlo sin pagar un precio excesivo...

José Manuel dijo...

He ejecutado el programa de Dr Web gratuito (para particulares) y los ficheros sigo teníendolos encriptados. No sé si la versión para empresas (de pago) será la herramienta adecuada. He escrito hoy directamente a Dr Web para pedirles solución, si para particulares la tienen segura, aunque sea por un "módico" precio.

Belen dijo...

La version gratuita a nosotros no nos funciono, creo que tienes que pagar unos 20€, que no es nada, comparado con lo que pide el pirata....

José Manuel dijo...

Gracias de nuevo Belén, seguiré por esa vía, a ver si puede ser.

Kayla Marrie dijo...

Quiero agradecer al Dr. Olokum para llevar alegría y felicidad a mi relación y mi familia. Perdí a mi novio, y yo requería ayuda hasta que me encontré con el Dr. Olokum el verdadero hechicero, Y él me aseguró que voy a tener mi novio de vuelta en dos días después de que el hechizo se ha fundido. dos días después, mi teléfono sonó, y así sorprendentemente, era mi novio, que no me ha llamado por mucho tiempo, e hizo una apología de la rotura del corazón, y me dijo que él está dispuesto a dedicar el resto de su vida conmigo. ola princetess lo soltó hasta saber lo mucho que me amaba y quería que él .. en este momento yo y mi novio es vivir una vida feliz y nuestro amor es ahora más fuerte que la forma en que eran incluso antes de nuestro descanso up..All agradecimiento a DR Olokum por el excesivo trabajo que ha hecho por mí. A continuación se muestra que la dirección de correo electrónico en la situación en la que está siendo sometido a una rotura del corazón, y te aseguro que a medida que la mina ha hecho por mí, ella definitivamente le ayudará también. Email: LAVENDERLOVESPELL@YAHOO.COM

Sebulba dijo...

Hola, habéis conseguido algo con dr web? gracias

Felipe dijo...

Me he bajado dr.web pagando los 20€ que al final son 35€ con las tasas y no hace nada. No desencripta nada.

José Manuel dijo...

Lo siento Felipe, como dije, yo espero contestación al tema de Dr Web. En cuanto me digan algo, lo comento por aquí.

Jesús dijo...

Ya sabia yo que eso no iba a funcionar... por eso le comentaba a belen cómo lo habian hecho ellos... De hecho, tienen una opción para escaneo online, subes el archivo y no detecta ni el virus.


Les he mandado un email con el archivo para ver si pueden arreglarlo con alguna herramienta. Pero no han dicho ni pio aún...

Jesús dijo...

Yo estoy con el vinsula en la opción de brute force a ver si la saca por webs... pero lleva una semana escaneando y el 40% probado y nada.

Felipe dijo...

Igual que yo Jesús, es más tienen una herramienta online ademas de scaneo, otra para desencriptar y nada... Pero que como decía, ni pagando la versión para empresas durante 1 año. el dr.web con versión 10.0 no vale para desencriptar este virus.

Ronny dijo...

Pues el "acoso" se transformo en un empleo al final, Geo diseño la seguridad del PSVita a la cual al dia de hoy no hay manera de quebrar su seguridad para ejecutar homebrew, las unicas vulnerabilidades conocidas son en juegos.