Команда SHERIFF CYBERSECURITY розслідувала інцидент у великій виробничій компанії з сотнями співробітників і критичними контрактами. Первинний сигнал надійшов від системи кібермоніторингу: нетиповий зовнішній трафік та масові підключення робочих станцій до зовнішнього C2-сервера — сервера керування зловмисників.
Простими словами, хтось отримав віддалений контроль над корпоративною мережею.
На першому етапі фахівці перевіряли стандартні сценарії: зламані акаунти, фішингові атаки, шкідливе ПЗ. Ознак класичного проникнення не виявили. Подальший технічний аналіз показав інше джерело проблеми — троянізований інсталятор Windows.
У межах внутрішньої оптимізації компанія раніше встановила неліцензійну версію операційної системи, завантажену з торрент-ресурсів. Саме цей інсталятор містив бекдор, який автоматично відкрив доступ до кожної машини в мережі одразу після встановлення.
Фактично один «зекономлений» інсталяційний образ став точкою входу для повної компрометації інфраструктури.
Що зробила команда SHERIFF CYBERSECURITY:
- довела троянізованість інсталятора на технічному рівні;
- відтворила повний ланцюжок зараження;
- задокументувала масштаби компрометації для менеджменту;
- підготувала поетапний план очищення та відновлення кожної робочої станції.
Ключовий момент — інцидент вдалося зупинити до стадії шифрування або знищення даних. Бізнес не втратив інформацію та уникнув зупинки операцій.
За підсумком розслідування реальна «економія» на ліцензії у кількасот доларів призвела до місяців роботи зі зламаною мережею та потенційних втрат, які вимірюються десятками тисяч.
Цей кейс ще раз підтверджує: кібератака не завжди починається з хакера. Дуже часто вона починається з «безкоштовного» рішення, яке здається дрібницею на фоні великого бізнесу — але відкриває двері до повного контролю над системами.
