Egy kiberbiztonsági cég kutatói egy kutatási céllal alakítottak ki. egy mézesbödön hálózatot, melynek célja épp az volt, hogy tanulmányozzák, hogyan dolgoznak a kiberbűnözők. A hálózat három napig maradt fenn.

A vállalati hálózatok azért kiemelt célpontjai a kibertámadásoknak, mert egy cégnek sokkal több a veszíteni valója, és sokkal komplexebb hálózatokat tartanak fenn, melyekben nagyobb a hibalehetőség is. Ráadásul a vállalatoknak a különböző tanácsok ellenére sokkal egyszerűbb kifizetni a zsarolópénzt az adataikért, mint nulláról kezdeni mindent.

A biztonsággal foglalkozó Cybereason egy olyan mézesbödön hálózatot épített ki, mely a külső szemlélőnek egy európai és amerikai érdekeltségekkel rendelkező áramszolgáltató vállalatnak nézett ki. A szakemberek tényleg mindent beleadtak, hogy a támadók azt gondolják egy valós és élő vállalati hálózatot támadnak meg, egy teljes IT és napi működést szimuláló hálózatot építettek fel, amelyet mintha élő emberek működtettek volna. A hálózat felépítése során a vállalati hálózatok tipikus biztonsági sérülékenységeit csempészték be, legyen az internetre kapcsolt remote portok, átlagos jelszavakat használtak, de azért például a hálózati szegmentációra odafigyeltek – mintha azért adnának a biztonságra.

A mézesbödön hálózatot idén üzemelték be, és nem kevesebb mint három nap múlva a hálózatot felfedezték a kiberbűnözők is sikerült be is férkőzniük abba. A támadók távoli adminisztrációs eszközök segítségével behatoltak, és zsarolóvírus helyeztek el a gépeken, megfejtették a rendszergazda jelszavát, majd így távolról ellenőrizhették a gépeket. Ezután egy hátsó ajtót helyeztek el egy kompromittált szerveren, és PowerShell eszközökkel (a népszerű Mimikatz is közöttük volt) segítségével további jelszavakat loptak el, ezzel tovább tudtak terjeszkedni a hálózatban, több gépet tudtak megfertőzni.

Közben szkennelték a hálózatot, felfedték a végpontokat és további jelszavakat gyűjtöttek be terjeszkedésük közben. Ez azt is jelentette, hogy ha például a megtámadott vállalat nem hajlandó zsarolási pénzt fizetni, akkor azzal is fenyegetőzhetnek, hogy közzéteszik a megszerzett jelszavakat.

A zsarolóvírusos támadást csak azután indították el, miután a teljes hálózatot felfedezték – egyszerre, minden gépen, hogy a hatás sokkal drámaibb legyen. A mézesbödön hálózatot azután más támadók is felfedezték maguknak, többségük zsarolóvírust helyezett el a kompromittált gépeken. Érdekes, hogy voltak olyan támadók is, akik csak begyűjtötték az adatokat, körbenéztek a hálózaton, majd távoztak – őt valószínű az ellenőrzés megszerzésére törekedtek csupán, ami azért egy áramszolgáltatónál, lássuk be, komoly ütőkártyát jelenthet.