El secreto para descubrir cómo fue hackeado por lo general se encuentra en la preparación antes del ataque y no después, configurando todos los sistemas para enviar registros a un servidor de registro central, por ejemplo. Esto se debe a que muchos tipos de paquetes de malware eliminan los registros para cubrir sus huellas y dificultan la recuperación; Si los sistemas envían sus registros a un servidor central, ayuda a conservar el registro. Si no hay un registro centralizado, es posible que no encuentres nada, pero así es como atacaría el problema de todos modos.
El objetivo final debería ser establecer una línea de tiempo, de qué sistemas se piratearon, cómo se piratearon, cómo se propagó la infección y cuánto tiempo transcurrió hasta que se detectó el ataque y se desconectaron los sistemas. Toda la información que reúnas debe ir en esta línea de tiempo. Una vez que la línea de tiempo está completa, puede utilizarla para reconstruir la secuencia de eventos y el impacto probable.
Si su oficina está en una línea ADSL, es poco probable que tenga servidores externos, lo más probable es que todas las conexiones se originen desde el interior de la red. Esto significa que es poco probable que alguien haya penetrado en su red desde el exterior, lo más probable es que alguien haya sido infectado abriendo un archivo de malware enviado en un correo electrónico (probablemente un PDF), o siendo engañado para que navegue a un sitio pirateado. También es posible que alguien haya introducido el malware en una memoria USB u otro tipo de medios extraíbles. Los enrutadores ADSL generalmente son deficientes en el registro (si están configurados para hacerlo), así que primero me concentraría en los registros de antivirus y ventanas y utilizaría cualquier registro de enrutador disponible para complementar.
Si tiene un servidor central de AD, un servidor AV y similares, el trabajo será más fácil. Si no vas a tener que mirar las máquinas individuales afectadas. No mencionó cuántos sistemas han sido pirateados, por lo que esto puede ser fácil o difícil, dependiendo de la magnitud del problema. Comenzaría con los registros de AV, esperando que el AV detectara el malware pero no protegiera los sistemas. Si no encuentra nada, mire los registros del sistema. Esté atento al inicio de java o adobe reader, así como a bloqueos / reinicios inesperados. Eventos como ese apuntan a infecciones exitosas.
Una vez que haya determinado qué sistemas se vieron afectados y luego puede consultar los registros de su enrutador ADSL (siempre que tenga alguno) y ver qué hicieron los sistemas infectados antes y después de la infección. El antes ayudará a determinar cómo se infectó el sistema (descargando un correo electrónico, yendo a un sitio web específico), y el posterior podría aclarar qué era el malware (es decir, a qué sistemas de control y control estaba conectado) y qué hizo. . Es poco probable que pueda determinar exactamente qué información se perdió, pero al menos sabiendo que el software malicioso fue infectado, durante cuánto tiempo se infectaron los sistemas y cuánta información se transfirió, puede tener una idea del impacto.