Сюжет, достойный экранизации, случился на одном производственном предприятии. Компания решила протестировать один из своих сервисов и для этого, с помощью IT-отдела, они установили сервисную операционную систему с расширенным доступом к нему для подрядчика. Для удобства подключили дополнительно сервис удаленного рабочего стола.
Поскольку сервер был тестовый никто не позаботился установить защитный доступ к нему. Весь сюжет как раз и начинается на этом моменте. В дополнении ко всему, развернули дистрибутив – установочный комплект, который был годичной давности.
Сервис тестировали в течение двух недель. По завершению этапа, тестировщики, забыли передать информацию в IT-отдел, а сервер так и остался включенный работать.
Шли месяцы и вскоре до сервера добрались руки, точнее сканер мошенников.
Работали аферисты профессионально. Несмотря на то, что IT-специалисты компании поменяли порт подключения к серверу, мошенникам удалось попасть на сервер с административными правами. Нашли уязвимость и воспользовались ей.
Аферисты орудовали на сервере вольготно. За два месяца изучили детальную информацию, которая была доступна в сети предприятия. Мошенники обнаружили, что сетевые настройки позволяют им поднять прокси сервер и перехватывать траффик в сети. Так они получили доступ к учетной записи администратора домена, который использовался в том числе и для администрирования других серверов.
Впоследствии, аферисты получили доступ к контроллеру домена и следом с него до всех серверов организации - выявили сервера баз данных, файловые сервера, сервера на которые производилось резервное копирование.
Кульминацией сюжета стала ночная атака преступников. Они удалили все резервные копии, зашифровали сервера баз данных, файловые сервера, сервера приложений, сменили учетные данные на домене тем самым оставив компанию без доступа к IT инфраструктуре. Не пострадал только производственный сегмент, доступ к которому за время нахождения в инфраструктуре не запрашивался.