#news Занятный кейс компрометации рансомварщиком EDR-кабинета Huntress атакуемой компании. Чтобы попасть в него достаточно простого проверенного… файла с резервными кодами на рабочем столе. Классика.
В сети компании проникли через скомпрометированный SonicWall VPN, и обнаружили текстовый файл с кодами. Для удобства он был назван Huntress_recovery_codes_[имя компании].txt и лежал на доступной в сети машине. Соответственно, с помощью кодов обошли MFA, залогинились в личный кабинет от поставщика, а там простор широкий: злоумышленники закрывали отчёты по инцидентам, отключали изоляцию на устройствах и удаляли с них EDR. По итогам в Huntress вовремя заметили шорох в сети, и зашифровать удалось лишь одну машину. Пикантности же истории добавляет тот факт, что коды лежали не у случайного сотрудника, а у безопасника компании. Понаберут по объявлению, что называется. В этом квартале явно без премии.
