Um ex-engenheiro-chefe de infraestrutura se declarou culpado por bloquear administradores do Windows em 254 servidores em uma tentativa fracassada de extorsão contra seu empregador, uma empresa industrial sediada no condado de Somerset, em Nova Jersey.
De acordo com documentos judiciais, Daniel Rhyne, de 57 anos, natural de Kansas City, no Missouri, acessou remotamente a rede da empresa sem autorização usando uma conta de administrador entre 9 e 25 de novembro.
Nesse período, ele teria agendado tarefas no domain controller da empresa com o objetivo de excluir contas de administradores de rede e alterar as senhas de 13 contas de domain admin e 301 contas de usuários do domínio para “TheFr0zenCrew!”.
Os promotores também acusam Rhyne de agendar tarefas para alterar as senhas de duas contas de admin local, o que afetaria 3.284 estações de trabalho, e de outras duas contas de admin local, com impacto em 254 servidores da rede do empregador.
Ele ainda teria programado ações para desligar servidores e workstations aleatórios da rede ao longo de vários dias em dezembro de 2023.
Em seguida, no dia 25 de novembro, Rhyne enviou a vários colegas um e-mail de resgate com o título “Your Network Has Been Penetrated”, afirmando que todos os administradores de TI haviam sido bloqueados em suas contas e que os backups dos servidores tinham sido apagados, tornando impossível a recuperação dos dados.
As mensagens também ameaçavam desligar 40 servidores aleatórios por dia nos dez dias seguintes caso a empresa não pagasse um resgate de 20 bitcoin, valor que na época equivalia a cerca de US$ 750.000.
“Em ou por volta de 25 de novembro de 2023, aproximadamente às 16h, no horário da Costa Leste dos EUA, administradores de rede empregados pela Victim-1 começaram a receber notificações de redefinição de senha para uma conta de domain administrator da Victim-1, bem como para centenas de contas de usuários da Victim-1”, diz a denúncia criminal.
“Pouco depois, os administradores de rede da Victim-1 descobriram que todas as outras contas de domain administrator da Victim-1 haviam sido excluídas, negando assim o acesso de administrador de domínio às redes de computadores da Victim-1.”
Investigadores forenses descobriram que, em 22 de novembro, Rhyne usou uma máquina virtual oculta e sua própria conta para pesquisar na web informações sobre como limpar logs do Windows, alterar senhas de usuários de domínio e excluir contas de domínio, enquanto preparava o plano de extorsão.
Uma semana antes, ele já havia feito buscas semelhantes em seu laptop, incluindo “command line to remotely change local administrator password” e “command line to change local administrator password”.
Rhyne foi preso no Missouri na terça-feira, 27 de agosto, e liberado após sua primeira audiência na Justiça federal.
As acusações de hacking e extorsão às quais ele se declarou culpado podem resultar em pena máxima de 15 anos de prisão.
No início deste mês, um contratado analista de dados da Carolina do Norte foi considerado culpado por extorquir sua empresa, a Brightly Software, uma companhia de software como serviço anteriormente conhecida como SchoolDude, em US$ 2,5 milhões.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...