Бывшего инженера базовой IT-инфраструктуры промышленной компании США арестовали за блокировку доступа системных администраторов к 254 серверам на Windows. Таким образом он пытался вымогать деньги у работодателя.
Инцидент произошёл в Нью-Джерси 25 ноября 2023 года. Сотрудники местной компании получили электронное письмо с требованием выкупа под названием «Ваша сеть была взломана». В нём говорилось, что учётные записи всех IT-администраторов заблокировали, а резервные копии серверов были удалены, чтобы сделать восстановление данных невозможным.
Кроме того, в сообщении содержалась угроза ежедневного отключения 40 случайных серверов в сети компании в течение следующих десяти дней, если не будет выплачен выкуп в размере 700 тысяч евро в виде 20 биткоинов — на тот момент эквивалент $750 тысяч.
Расследование ФБР выявило, что за угрозами стоял 57-летний Дэниел Райн из штата Миссури, работавший инженером по основной инфраструктуре в промышленной компании. Он получил удалённый доступ к компьютерным системам без разрешения, используя учётную запись администратора в период с 9 по 25 ноября.
Затем инженер запланировал задачи на контролируемом домене, чтобы изменить пароли для учётной записи администратора, 13 аккаунтов администраторов домена и 301 учётной записи пользователей на текстовую строку «TheFr0zenCrew!».
В иске утверждается, что Райн также запланировал задачи по смене паролей для двух учётных записей локальных администраторов, что могло затронуть 254 сервера, и ещё двух аккаунтов локальных администраторов, что могло повлиять на 3284 рабочих станции в сети работодателя. Он также запланировал задачи по отключению случайных серверов и рабочих станций в течение нескольких дней в декабре 2023 года.
В ходе экспертизы следователи обнаружили, что при планировании вымогательства Райн использовал скрытую виртуальную машину, к которой он получил доступ с помощью своей учётной записи и ноутбука. Он искал в Интернете информацию о том, как удалить учётные записи домена, очистить журналы Windows и изменить пароли пользователей домена с помощью командной строки.
25 ноября сетевые администраторы, работающие в компании, начали получать уведомления о сбросе пароля для учётной записи. Вскоре после этого сетевые администраторы обнаружили, что все остальные аккаунты админов домена компании были удалены, тем самым лишив их доступа к компьютерным сетям.
Райн был арестован в Миссури 27 августа. Ему предъявили обвинения в вымогательстве, преднамеренном повреждении компьютера и мошенничестве с использованием электронных средств связи. Инженеру грозит 35 лет тюрьмы и штраф в размере $750 000.
Источник: habr.com