Ilyenkor csak arra lennék kíváncsi, hogy ekkora adathalmaz között, hogy tudnak válogatni. Ennyi ideig bent lézengenek a belső hálózaton? Netán nyomnak minden elérhető szervernél egy
$ scp -R remote.ip:/* .
parancsot és közben senkinek sem tűnik fel a hosszú ideig tartó nagy hálózati terhelés? Majd aztán utána kutakodnak a hasznos adatért?
Legjobb esetben azt tudom elképzelni, hogy van egy scriptjük. Onnantól, hogy bent vannak egy hálózaton, lefuttatják minden gépen, amihez hozzáférnek a legfontosabb adattároló alkalmazások ismert helyeivel. Szal van egy listájuk, hogy hol érhető el általában a postgre, mariadb és egyéb, adatokat tároló szoftverek, credentialok és home dir-ekben található hasznos adatok. Érdekes lenne tudni, hogy valójában hogyan zajlanak az ilyen támadások. (Vagyis maga az adat szivárogtatása.)