Tévedsz, teljesen máshogy mennek már a dolgok. Évek óta az a minta, hogy valamilyen bot valahogy bejut (sok esetben akár 0day exploittal, sok esetben cicás képernyővédőre kattintással, ez mondjuk, hogy a megszokott minta). Itt még nem rombolnak, mert nem éri meg. Level1 csapat elemezi a botok által talált célpontokat (cégméret, bevétel, IT infra, stb..). Ha valamit érdekesnek találnak, akkor nekiindulnak manuálisan, és ez már célzott támadás. Sokszor hónapokig bent vannak, elsődleges cél a backup tönkrevágása mindenféle módszerrel (a kedvencem az volt, mikor a célpont saját backup sw-jébe bekapcsolták az encrypt funkciót, a kulcs persze csak náluk volt meg). Aztán ha úgy érzik, hogy elég biztosan el lehet rúgni a lasztit, akkor valami elcseszett időpontban (pl. hétfő 5:00) szétrombolnak mindent. Ezután jön a szokásos váltságdíj, egyeztetés, thoron működő ügyfélszolgálattal.
Ha azt hiszed, hogy ez scifi, akkor annyit elárulok, hogy az elmúlt 5-6 évben több ilyen esetben is részt vettem külsősként visszaállításokban (ha volt rá esély egyáltalán) különféle hazai cégeknél. És volt közte 100 fő alatti könyvelőiroda is, szóval nem kell nagy dolgokra gondolni, egyszerű matek: ha le tudják őket venni mondjuk 50-100k USD-vel, az már igen combos óradíj nekik. De volt olyan hazai 60 fős cég is, akiktől 1m-et akartak, vélhetően valamit benéztek az elemzésénél. A lényeg, hogy legnagyobb és legbiztosabb pénzt már így lehet csinálni, a konzerv, teljesen automatizált megoldások (amik mögött már sokszor a csapat sincs meg akinek fizetni tudnál) mára kevésbé jellemzőek, esetleg home usereknél még felüthetik a fejüket.
Ettől még persze lehet mondani, hogy ezek mind balfaszok, és a PH esethez képest hatszor akkora threadben lehetne okoskodni, hogy mit hogyan kellene csinálni. De azért azt gondolom, hogy ez mégsem az a kategória amire te gondolsz.
Nagyon meglepne, ha nem ez lenne a szitu.
Szerintem kezdhetsz meglepődni.