Да и вы же понимаете, что заразит ьхост какого-нить юзера Эмотетом - это еще не зашифровать весь энтерпрйз

учитывая примерную аналитику этого малвари то там было очень долгая работа в инфраструктуре
Запутанный сценарий PowerShell выполняется и подключается к удаленному IP-адресу.
Обратная оболочка загружается и выполняется на скомпрометированном хосте.
Сценарии анти-журналирования PowerShell выполняются на хосте.
Разведка сети проводится с использованием стандартных инструментов командной строки Windows вместе с внешними загруженными инструментами.
Боковое перемещение по сети осуществляется с помощью протокола удаленного рабочего стола (RDP).
Сервисные учетные записи пользователей созданы.
PowerShell Empire загружается и устанавливается как сервис.
Боковое перемещение продолжается до тех пор, пока не будут восстановлены привилегии для получения доступа к контроллеру домена.
PSEXEC используется для передачи бинарного файла Ryuk отдельным хостам.
Пакетные сценарии выполняются для завершения процессов / служб и удаления резервных копий, после чего следует двоичный файл Ryuk.

А вот их преза по разделению технологической и корпоративной сетей

Мало информации , может новости опять хайпанули и все под одну гребенку причесали

Не устанавливается как сервис, там механизм на основе psexec. Ну и последнее время они запускают по энтерпрайзу скрипты и сам рюе через групповые политики, плюс таски создают на всякий, если не запустится

Из забавного, там Эмпайровские стандартные стейджеры прям

Но бывает и Кобалт страйк юзают и ПошС2

По поводу долгой работы, это да, бывает двелл тайм до 8 месяцев)

Так может технологическая сеть и не пострадала. Плюс гарантирую, что атака началась с зарубежного офиса

Комментарии февральской уязвимости Profinet

Ну слава Б-гу :) ! Помнится, Иран по Stuxnet тоже утверждал, что "потерь нет" (c)

Нет, они так не утверждали

Они не подтверждали

Но в любом случае, молодцы

ну значит на ошибках учаться, молодцы 👌

ждем отчет от них