Ransomware (Globe Imposter) è stato trovato su uno dei nostri server di produzione.
L'eseguibile è stato trovato nella cartella documenti di uno dei nostri dipendenti sullo stesso server. È stata creata anche un'attività pianificata di Windows utilizzando lo stesso account di dominio del dipendente.
Sarebbe possibile che il ransomware impersonasse il dipendente? Oppure il dipendente lo ha eseguito accidentalmente?
We found ransomware on the production server which was executed using a scheduled task by a specific user. I'm asking if he executed it or if it's possible for something to impersonate him.
Tl; dr: Per rispondere a questa domanda in una riga - sì. È perfettamente possibile che uno script sia maschiato come lui.
Potrebbe, per esempio, avere keylogg il suo accesso al dominio e quindi usare la password per eseguire script con privilegi amministrativi.
Ma per essere assolutamente sicuro, dovresti prendere il suo sistema ed esaminarlo per vedere come funziona il malware, controllare cosa ha cercato di fare e non escludere la possibilità che possa essere un attacco interno .
Leggi altre domande sui tag ransomware