Инженера предприятия в США арестовали за блокировку доступа к 254 серверам на Windows ради вымогательства

Бывшего инженера базовой IT-инфраструктуры промышленной компании США арестовали за блокировку доступа системных администраторов к 254 серверам на Windows. Таким образом он пытался вымогать деньги у работодателя.

Инцидент произошёл в Нью-Джерси 25 ноября 2023 года. Сотрудники местной компании получили электронное письмо с требованием выкупа под названием «Ваша сеть была взломана». В нём говорилось, что учётные записи всех IT-администраторов заблокировали, а резервные копии серверов были удалены, чтобы сделать восстановление данных невозможным.

Кроме того, в сообщении содержалась угроза ежедневного отключения 40 случайных серверов в сети компании в течение следующих десяти дней, если не будет выплачен выкуп в размере 700 тысяч евро в виде 20 биткоинов — на тот момент эквивалент $750 тысяч. 

Расследование ФБР выявило, что за угрозами стоял 57-летний Дэниел Райн из штата Миссури, работавший инженером по основной инфраструктуре в промышленной компании. Он получил удалённый доступ к компьютерным системам без разрешения, используя учётную запись администратора в период с 9 по 25 ноября.

Затем инженер запланировал задачи на контролируемом домене, чтобы изменить пароли для учётной записи администратора, 13 аккаунтов администраторов домена и 301 учётной записи пользователей на текстовую строку «TheFr0zenCrew!».

В иске утверждается, что Райн также запланировал задачи по смене паролей для двух учётных записей локальных администраторов, что могло затронуть 254 сервера, и ещё двух аккаунтов локальных администраторов, что могло повлиять на 3284 рабочих станции в сети работодателя. Он также запланировал задачи по отключению случайных серверов и рабочих станций в течение нескольких дней в декабре 2023 года.

В ходе экспертизы следователи обнаружили, что при планировании вымогательства Райн использовал скрытую виртуальную машину, к которой он получил доступ с помощью своей учётной записи и ноутбука. Он искал в Интернете информацию о том, как удалить учётные записи домена, очистить журналы Windows и изменить пароли пользователей домена с помощью командной строки.

25 ноября сетевые администраторы, работающие в компании, начали получать уведомления о сбросе пароля для учётной записи. Вскоре после этого сетевые администраторы обнаружили, что все остальные аккаунты админов домена компании были удалены, тем самым лишив их доступа к компьютерным сетям.

Райн был арестован в Миссури 27 августа. Ему предъявили обвинения в вымогательстве, преднамеренном повреждении компьютера и мошенничестве с использованием электронных средств связи. Инженеру грозит 35 лет тюрьмы и штраф в размере $750 000.

Источник: habr.com

0 0 голоса
Рейтинг новости
12980
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии