Вчера был атакован по RDP компьютер в организации (на защите стоял Kaspersky Free).
Покинув рабочее место на 1.5 часа, вернувшись я прочитал надпись "ваш компьютер используется другим пользователем". Это был аккаунт администратора домена.
Быстро зайдя в эту сессию, увидел около 2-3 открытых окон RDP на сервера предприятия и на каждом рабочем столе уже был файл *****@*****.tld
Я понял что произошло и выдернув ethetnet перезагрузил ПК (возможно это и была ошибка).
Позже закрыл доступы на маршрутизаторе по RDP. Атака произошла из параллельной (созданной злоумышленником виртуальной сети - ботнет)
Вопрос следующий.
Это был человек или скрипт\вредоносное ПО?
Возможно ли, что ВПО уже научилось взламывать RDP (узнавая связку: имя домена, пользователя, пароль) +входить на взломанном ПК ещё глубже по RDP на другие ПК и далее в тех ещё раз глубже входить по RDP?
И второе, как скрипт (или всё же человек?) смог научиться выключать защиту Kasperskiy free? (режим-то администратора домена перехвачен был), так как после взлома и зашифровки всех серверов и ПК Kasperskiy стоял в отключенном состоянии.
От тотального уничтожения всех серверов спас старый, необновляемый, с "оторванной головой" (серверной части нет, ушла с другой организацией), D*W**. Он, клиентская часть, на некоторых серверах оставался нетронутым с 2021 года. На тех ПК от схватил заразу и отправил в карантин. И да, в былые времена помню у него был PIN-код на разблокировку, каждый раз генерировался новый. Только сейчас осознал, что такого нет у Касперского.
Он его определил как: DPH.Trojan.Encoder.13
