Hozzánk úgy jöttek be, hogy egy ügyfél e-mail szerverét megnyomták, majd valós e-mailbe valós linket (feltételezem az ügyfél küldte) megszerekesztették. A dolgozónk rákattintott megnyílt a weboldal amire számított de közben települt egy trójai amit akkor a frissen tartott víruskereső nem fogott egy frissen tartott windows 10-en. A támadó mimikatz segítségével és egy cached domain admin jelszóval megvalósÍtotta a "lateral movement" eseményt. A biztonság kedvéért a domain truston keresztül átjutott másik domain-be is. Ezt megnehezítette volna ha van Active Directory Tier modell bevezetve. Ma már ezt így hívják: https://learn.microsoft.com/en-us/security/compass/privileged-access-ac… Óvatosan és lassan dolgozott egyszerre sosem okozott nagy zajt. Egyik tevékenysége sem ütötte meg a SOC ingerküszöbét. Hónapokkal később kivárta a megfelelő alkalmat. Az új CEO bejelentésének a videóközvetítétsének az idejében terítettette a motyót (Lockergoga + powershell indító script); így a kiugró hálózati forgalmat sem lehetett észrevenni, majd aznap este a domain adminjával minden domain admin és lokál admin jelszót lecserélt és psexec-el elindította a titkosítást oly módon, hogy nemcsak a felhasználói fájlokat hanem komplett rendszereket rendszerfájlostól eltitokosított. Miután domain adminja volt 100%-ra patchelt szerverek és kliensek is elhullottak. Az egész alatt nem számított se tűzfal, se IPS/IDS, se proxy ami szűr se frissre patchelt rendszerek se friss víruskereső motorok semmi (a cucc átment a zscaler-en a symantec-en és a mcafee-n is) A A lockergoga (amit használt) 0 találatot generált a virustotal-on amikkor ránkszabadította. (pedig előtte már használta). Termelési terület csak közvetetten volt érintett a védett kritikus infrastruktúra rész meg egyáltalán nem volt érintett. A cég történetében történtek nagyobb krízisek is: https://www.imdb.com/title/tt3280150/