Бывший инженер базовой инфраструктуры из неназванной компании в Нью-Джерси, был арестован после того, как заблокировал доступ администраторов к 254 серверам и попытался вымогать выкуп у своего работодателя. Из-за этой неудавшейся попытки вымогательства ему грозит до 35 лет тюрьмы.
Согласно судебным документам, 25 ноября 2023 года сотрудники пострадавшей компании получили электронное письмо с заголовком «Ваша сеть подверглась вторжению» (Your Network Has Been Penetrated). В письме утверждалось, что все ИТ-администраторы лишились доступа к своим учетным записям, а резервные копии серверов были уничтожены, чтобы сделать восстановление данных невозможным.
Также в послании содержалась угроза: злоумышленник обещал ежедневно отключать 40 случайных серверов в сети компании в течение следующих 10 дней, если ему не выплатят выкуп в размере 20 биткоинов (по курсу на тот момент — около 750 000 долларов США).
В ходе расследования, которое координировало ФБР, выяснилось, что 57-летний Дэниел Райн (Daniel Rhyne), работавший в пострадавшей от атаки промышленной компании из Нью-Джерси на должности инженера базовой инфраструктуры, имел несанкционированный удаленный доступ к системам компании с 9 по 25 ноября, используя для этого учетную запись администратора.
Через контроллер домена Райн запланировал задачу по изменению паролей для учетной записи Administrator, а также 13 учетных записей администраторов домена и 301 учетной записи пользователей домена, сменив их на текстовую строку «TheFr0zenCrew!».
В документах утверждается, что Райн также запланировал задачи по изменению паролей для двух аккаунтов локальных администраторов, что в общей сложности затрагивало 254 сервера, а также для двух других учетных записей локальных администраторов, что затрагивало и 3284 рабочих станции в сети его работодателя. Также он запланировал ряд задач по отключению случайных серверов и рабочих станций в течение в разные дни в декабре 2023 года.
Сообщается, что для этого саботажа Райн использовал Windows Net User и инструмент PsPasswd от Sysinternals Utilities.
Как установила экспертиза, планируя свою вымогательскую атаку, Райн якобы использовал скрытую виртуальную машину, чтобы 22 ноября поискать в интернете информацию о том, как стирать учетные записи, очищать логи Windows и изменять пароли для пользователей домена с помощью командной строки.
15 ноября Райн выполнял аналогичный поиск, в том числе по запросам: «командная строка для изменения пароля локального администратора» и «командная строка для удаленного изменения пароля локального администратора».
«Изменяя пароли администраторов и пользователей, и выключая серверы Жертвы-1 [кодовое название пострадавшей компании], запланированные задачи в совокупности должны были умышленно лишить Жертву-1 доступа к ее системам и данным. Примерно 25 ноября 2023 года сетевые администраторы, работающие в компании, начали получать уведомления о сбросе паролей для учетной записи администратора домена, а также сотен учетных записей пользователей. Вскоре после этого сетевые администраторы Жертвы-1 обнаружили, что все остальные учетные записи администраторов домена удалены, что лишило администраторов домена доступа к компьютерным сетям компании».
Райн был арестован 27 августа и отпущен на свободу, после того как предстал перед судом в Канзас-Сити. Его обвиняют в вымогательстве, умышленном причинении вреда компьютерам и мошенничестве. Максимальное наказание по этим обвинениям составляет до 35 лет лишения свободы, а также влечет за собой штраф в размере 750 000 долларов.
