«Безкоштовний» Windows як точка входу: кейс SHERIFF CYBERSECURITY про масову компрометацію мережі
Команда SHERIFF CYBERSECURITY розслідувала інцидент у великій виробничій компанії з сотнями співробітників та критичними контрактами. Первинний сигнал надійшов від системи кібермоніторингу: нетиповий зовнішній трафік та масові підключення робочих станцій до зовнішнього C2-сервера — сервера керування зловмисників.
Простими словами, хтось отримав віддалений контроль над корпоративною мережею.
На першому етапі фахівці перевіряли стандартні сценарії: зламані акаунти, фішингові атаки, шкідливе ПЗ. Ознак класичного проникнення не виявили. Подальший технічний аналіз показав інше джерело проблеми — троянізований інсталятор Windows.
Підписуйтеся на наші соцмережі
У межах внутрішньої оптимізації компанія раніше встановила неліцензійну версію операційної системи, завантажену з торрент-ресурсів. Саме цей інсталятор містив бекдор, який автоматично відкрив доступ до кожної машини в мережі одразу після встановлення.
Фактично один «зекономлений» інсталяційний образ став точкою входу для повної компрометації інфраструктури.
Що зробили наші фахівці з кіберзахисту:
- довели троянізованість інсталятора на технічному рівні;
- відтворили повний ланцюжок зараження;
- задокументували масштаби компрометації для менеджменту;
- підготували поетапний план очищення та відновлення кожної робочої станції.
Ключовий момент: інцидент вдалося зупинити до стадії шифрування або знищення даних. Бізнес не втратив інформацію та уникнув зупинки операцій.
За підсумком розслідування реальна «економія» на ліцензії у кількасот доларів призвела до місяців роботи зі зламаною мережею та потенційних втрат, які вимірюються десятками тисяч.
Цей кейс ще раз підтверджує: кібератака не завжди починається з хакера. Дуже часто вона починається з «безкоштовного» рішення, яке здається дрібницею на фоні великого бізнесу — але відкриває двері до повного контролю над системами.