«Безкоштовний» Windows як точка входу: кейс SHERIFF CYBERSECURITY про масову компрометацію мережі

Команда SHERIFF CYBERSECURITY розслідувала інцидент у великій виробничій компанії з сотнями співробітників і критичними контрактами. Первинний сигнал надійшов від системи кібермоніторингу: нетиповий зовнішній трафік та масові підключення робочих станцій до зовнішнього C2-сервера - сервера керування зловмисників.

Простими словами, хтось отримав віддалений контроль над корпоративною мережею.

На першому етапі фахівці перевіряли стандартні сценарії: зламані акаунти, фішингові атаки, шкідливе ПЗ. Ознак класичного проникнення не виявили. Подальший технічний аналіз показав інше джерело проблеми - троянізований інсталятор Windows.

У межах внутрішньої оптимізації компанія раніше встановила неліцензійну версію операційної системи, завантажену з торрент-ресурсів. Саме цей інсталятор містив бекдор, який автоматично відкрив доступ до кожної машини в мережі одразу після встановлення.

Фактично один «зекономлений» інсталяційний образ став точкою входу для повної компрометації інфраструктури.

Що зробила команда SHERIFF-CYBERSECURITY:

• довела троянізованість інсталятора на технічному рівні;
• відтворила повний ланцюжок зараження;
• задокументувала масштаби компрометації для менеджменту;
• підготувала поетапний план очищення та відновлення кожної робочої станції.

Ключовий момент - інцидент вдалося зупинити до стадії шифрування або знищення даних. Бізнес не втратив інформацію та уникнув зупинки операцій.

За підсумком розслідування реальна «економія» на ліцензії у кількасот доларів призвела до місяців роботи зі зламаною мережею та потенційних втрат, які вимірюються десятками тисяч.

Цей кейс ще раз підтверджує: кібератака не завжди починається з хакера. Дуже часто вона починається з «безкоштовного» рішення, яке здається дрібницею на фоні великого бізнесу - але відкриває двері до повного контролю над системами.