Se encontró ransomware (Globe Imposter) en uno de nuestros servidores de producción.
El ejecutable se encontró en la carpeta de documentos de uno de nuestros empleados en el mismo servidor. También se creó una tarea programada de Windows usando la cuenta de dominio del mismo empleado.
¿Sería posible que el ransomware se haga pasar por el empleado? ¿O el empleado lo ejecutó accidentalmente?
Encontramos ransomware en el servidor de producción que fue ejecutado usando una tarea programada por un usuario específico. Le pregunto si lo ejecutó o si es posible que algo lo personifique.
Tl; dr: Para responder esto en una línea, sí. Es perfectamente posible que un guión se haya hecho pasar por él.
Por ejemplo, podría haber registrado el inicio de sesión en su dominio y luego usar la contraseña para ejecutar scripts con privilegios administrativos.
Pero para estar absolutamente seguro, deberías tomar su sistema y examinarlo para ver cómo funciona el malware. Comprueba qué es lo que buscaba hacer y no descartes la posibilidad de que pueda ser un ataque interno. .
Lea otras preguntas en las etiquetas ransomware