Бывший инженер по ключевой инфраструктуре признал себя виновным в блокировке администраторов Windows на 254 серверах в рамках неудачной попытки вымогательства у своего работодателя — промышленной компании со штаб-квартирой в округе Сомерсет, штат Нью-Джерси.
Согласно судебным документам, 57-летний Дэниел Райн из Канзас-Сити, штат Миссури, с 9 по 25 ноября несанкционированно получал удаленный доступ к сети компании, используя учетную запись администратора.
В течение этого времени он, как утверждается, планировал задачи в контроллере домена Windows компании для удаления учетных записей сетевых администраторов и изменения паролей для 13 учетных записей администраторов домена и 301 учетной записи пользователей домена на “TheFr0zenCrew!”.
Прокуроры также обвинили Райна в планировании задач по изменению паролей для двух локальных учетных записей администраторов, что затронуло бы 3284 рабочих станции, и для еще двух локальных учетных записей администраторов, что повлияло бы на 254 сервера в сети его работодателя. Он также запланировал отключение случайных серверов и рабочих станций в сети в течение нескольких дней в декабре 2023 года.
Впоследствии, 25 ноября, Райн отправил по электронной почте ряду своих коллег письмо с требованием выкупа под заголовком “Ваша сеть была скомпрометирована”, в котором говорилось, что все ИТ-администраторы были заблокированы в своих учетных записях, а резервные копии серверов удалены, что делает восстановление данных невозможным.
Кроме того, в письмах содержалась угроза ежедневно отключать 40 случайных серверов в течение следующих десяти дней, если компания не заплатит выкуп в размере 20 биткоинов (на тот момент около 750 000 долларов США).
“Примерно 25 ноября 2023 года, около 16:00 по восточному времени, сетевые администраторы, работающие в Victim-1, начали получать уведомления о сбросе пароля для учетной записи администратора домена Victim-1, а также для сотен учетных записей пользователей Victim-1”, — говорится в уголовном обвинении.
“Вскоре после этого сетевые администраторы Victim-1 обнаружили, что все остальные учетные записи администраторов домена Victim-1 были удалены, тем самым лишив доступа администратора домена к компьютерным сетям Victim-1”.
Судебные следователи обнаружили, что 22 ноября Райн использовал скрытую виртуальную машину и свою учетную запись для поиска в Интернете информации об очистке журналов Windows, изменении паролей пользователей домена и удалении учетных записей домена в рамках планирования своей схемы вымогательства.
Неделей ранее Райн проводил аналогичные поисковые запросы в Интернете на своем ноутбуке, включая “команда для удаленного изменения пароля локального администратора” и “команда для изменения пароля локального администратора”.
Райн был арестован в Миссури во вторник, 27 августа, и освобожден после первого появления в федеральном суде. Обвинения во взломе и вымогательстве, в которых он признал себя виновным, предусматривают максимальное наказание в виде 15 лет лишения свободы.
Ранее в этом месяце подрядчик, аналитик данных из Северной Каролины, был признан виновным в вымогательстве 2,5 миллиона долларов у своего работодателя, компании Brightly Software (компания Software-as-a-Service, ранее известная как SchoolDude).
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
