Un fost inginer de infrastructură de bază la o companie industrială cu sediul în comitatul Somerset, New Jersey, a fost arestat după ce a blocat administratorii Windows de pe 254 de servere într-o schemă de șantaj eșuată îndreptată împotriva angajatorului său.
Conform documentelor judecătorești, angajații companiei au primit un e-mail de șantaj intitulat „Rețeaua dvs. a fost penetrată” pe 25 noiembrie, în jurul orei 16:44 EST. E-mailul pretindea că toți administratorii IT fuseseră blocați din conturile lor și copiile de rezervă ale serverelor fuseseră șterse pentru a face imposibilă recuperarea datelor.
În plus, mesajul amenința că va închide 40 de servere aleatorii pe rețeaua companiei zilnic în următoarele zece zile, cu excepția cazului în care se plătea o răscumpărare de 700.000 de euro (sub formă de 20 Bitcoin) – la momentul respectiv, 20 BTC valorează 750.000 de dolari.
Investigația coordonată de agentul special al FBI, James E. Dennehy din Newark, a descoperit că Daniel Rhyne în vârstă de 57 de ani din Kansas City, Missouri, care lucra ca inginer de infrastructură de bază pentru compania industrială din New Jersey, a accesat în mod remot sistemele de calcul ale companiei fără autorizație folosind un cont de administrator al companiei între 9 și 25 noiembrie.
El a programat sarcini pe controlerul de domeniu al companiei pentru a schimba parolele pentru contul de Administrator, 13 conturi de administrator de domeniu și 301 conturi de utilizator de domeniu la șirul de text „TheFr0zenCrew!”.
Plângerea penală susține că Rhyne a programat, de asemenea, sarcini pentru a schimba parolele pentru două conturi de administrator local, care ar fi afectat 254 de servere, și pentru alte două conturi de administrator local, care ar fi afectat 3.284 de stații de lucru pe rețeaua angajatorului său. De asemenea, a programat unele sarcini pentru a închide servere și stații de lucru aleatorii pe parcursul mai multor zile în decembrie 2023.
Investigatorii au descoperit și în timpul analizei informatice că, în timp ce își planifica schema de șantaj, Rhyne a folosit în mod presupus o mașină virtuală ascunsă la care a accesat folosind contul și laptopul său pentru a căuta pe internet pe 22 noiembrie informații despre cum să șteargă conturi de domeniu, să șteargă jurnalele Windows și să schimbe parolele de utilizator de domeniu folosind linia de comandă.
Pe 15 noiembrie, Rhyne a făcut și căutări similare pe laptopul său, inclusiv „linia de comandă pentru a schimba parola de administrator local” și „linia de comandă pentru a schimba parola de administrator local de la distanță”.
„Prin schimbarea parolelor de administrator și de utilizator și închiderea serverelor Victim-1, sarcinile programate au fost colectiv concepute și destinate să îi negheze Victimei-1 accesul la sistemele și datele sale”, se arată în plângerea penală.
„În jurul datei de 25 noiembrie 2023, aproximativ la 16:00 EST, administratorii de rețea angajați la Victim-1 au început să primească notificări de resetare a parolelor pentru un cont de administrator de domeniu Victim-1, precum și sute de conturi de utilizatori Victim-1. În curând după aceea, administratorii de rețea de la Victim-1 au descoperit că toate celelalte conturi de administrator de domeniu Victim-1 fuseseră șterse, negând astfel accesul administratorului de domeniu la rețelele de calcul Victim-1”.
Rhyne a fost arestat în Missouri marți, 27 august, și a fost eliberat după prima sa apariție în instanța federală din Kansas City. Acuzațiile de șantaj, vătămare intenționată a computerului și fraudă prin wire pot fi pedepsite cu o pedeapsă maximă de 35 de ani de închisoare și o amendă de 750.000 de dolari.
Leave a Reply