Um ex-engenheiro de infraestrutura de núcleo em uma empresa industrial com sede no Condado de Somerset, em Nova Jersey, foi preso após bloquear administradores do Windows de 254 servidores em uma tentativa frustrada de extorsão contra seu empregador.
Conforme documentos judiciais, funcionários da empresa receberam um e-mail de resgate intitulado "Sua Rede Foi Penetrada" em 25 de novembro, por volta das 16:44 EST.
O e-mail afirmava que todos os administradores de TI haviam sido bloqueados de suas contas e os backups dos servidores foram deletados para tornar a recuperação de dados impossível.
Além disso, a mensagem ameaçava desligar 40 servidores aleatórios na rede da empresa diariamente durante os próximos dez dias, a menos que um resgate de €700.000 (na forma de 20 Bitcoin) fosse pago—naquele momento, 20 BTC valiam $750.000.
A investigação coordenada pelo Agente Especial do FBI, James E. Dennehy, em Newark, descobriu que Daniel Rhyne, de 57 anos, de Kansas City, Missouri, que trabalhava como engenheiro de infraestrutura de núcleo para a empresa industrial de Nova Jersey, acessou remotamente os sistemas de computador da empresa sem autorização usando uma conta de administrador da empresa entre 9 e 25 de novembro.
Ele então programou tarefas no domínio controlado da empresa para alterar as senhas para a conta de Administrador, 13 contas de administrador de domínio e 301 contas de usuário de domínio para a cadeia de texto "TheFr0zenCrew!".
A denúncia criminal alega que Rhyne também programou tarefas para alterar as senhas de duas contas de administrador local, o que afetaria 254 servidores, e para mais duas contas de administrador local, o que afetaria 3.284 estações de trabalho na rede de seu empregador.
Ele também agendou algumas tarefas para desligar servidores e estações de trabalho aleatórios durante vários dias em dezembro de 2023.
Os investigadores também descobriram durante a análise forense que, enquanto planejava seu esquema de extorsão, Rhyne supostamente usou uma máquina virtual oculta acessada por sua conta e laptop para pesquisar na web em 22 de novembro informações sobre como deletar contas de domínio, limpar logs do Windows e alterar senhas de usuário de domínio usando a linha de comando.
Em 15 de novembro, Rhyne também fez pesquisas semelhantes na web em seu laptop, incluindo "linha de comando para alterar senha do administrador local" e "linha de comando para alterar remotamente a senha do administrador local".
"Ao alterar senhas de administrador e de usuário e desligar os servidores da Vítima-1, as tarefas programadas foram coletivamente projetadas e destinadas a negar à Vítima-1 acesso aos seus sistemas e dados," diz a denúncia criminal.
Em 25 de novembro de 2023, aproximadamente às 16:00 EST, administradores de rede empregados na Vítima-1 começaram a receber notificações de redefinição de senha para uma conta de administrador de domínio da Vítima-1, assim como de centenas de contas de usuário da Vítima-1.
Pouco depois, os administradores de rede da Vítima-1 descobriram que todas as outras contas de administrador de domínio da Vítima-1 foram deletadas, negando assim o acesso de administrador de domínio às redes de computadores da Vítima-1.
Rhyne foi preso em Missouri na terça-feira, 27 de agosto, e foi liberado após sua primeira aparição no tribunal federal de Kansas City.
As acusações de extorsão, dano intencional ao computador e fraude eletrônica acarretam uma pena máxima de 35 anos de prisão e uma multa de $750.000.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...