Um ex-engenheiro de infraestrutura de núcleo de uma empresa industrial sediada no Condado de Somerset, Nova Jersey, foi preso por bloquear administradores do Windows de 254 servidores em um esquema de extorsão fracassado contra seu empregador.
Documentos judiciais revelam que em 25 de novembro, por volta das 16h44 EST, funcionários da empresa receberam um e-mail de resgate intitulado “Sua rede foi penetrada”. O e-mail afirmava que todos os administradores de TI foram bloqueados de suas contas e que os backups do servidor foram excluídos, tornando a recuperação de dados impossível.
A mensagem ainda ameaçava desligar 40 servidores aleatórios na rede da empresa diariamente nos próximos dez dias, a menos que um resgate de € 700.000 (aproximadamente US$ 750.000 na época) em Bitcoin (20 BTC) fosse pago.
Uma investigação liderada pelo agente especial do FBI James E. Dennehy em Newark identificou Daniel Rhyne, de 57 anos, de Kansas City, Missouri, como o perpetrador. Rhyne, que trabalhava como engenheiro de infraestrutura central para a empresa sediada em Nova Jersey, acessou sem autorização os sistemas de computador da empresa usando uma conta de administrador da empresa entre 9 e 25 de novembro.
Rhyne então agendou tarefas no controlador de domínio da empresa para alterar as senhas da conta de administrador, 13 contas de administrador de domínio e 301 contas de usuário de domínio para “TheFr0zenCrew!”
A queixa criminal alega ainda que Rhyne também agendou tarefas para alterar as senhas de duas contas de administrador local, afetando 254 servidores, e de duas contas de administrador local adicionais, impactando 3.284 estações de trabalho na rede da empresa. Além disso, ele agendou tarefas para desligar servidores e estações de trabalho aleatórios ao longo de vários dias em dezembro de 2023.
Exposto por pesquisas incriminatórias na web
Os investigadores descobriram que, ao planejar seu plano de extorsão, Rhyne supostamente usou uma máquina virtual oculta acessada por meio de sua conta e laptop para conduzir pesquisas na web em 22 de novembro. Ele buscou informações sobre como excluir contas de domínio, limpar logs do Windows e alterar senhas de usuários de domínio por meio da linha de comando.
Uma análise mais aprofundada revelou que, em 15 de novembro, Rhyne fez pesquisas semelhantes em seu laptop, incluindo consultas como “linha de comando para alterar a senha do administrador local” e “linha de comando para alterar remotamente a senha do administrador local”.
A denúncia criminal afirma: “Ao alterar as senhas do administrador e do usuário e desligar os servidores da Vítima-1, as tarefas agendadas foram coletivamente projetadas e destinadas a negar à Vítima-1 o acesso aos seus sistemas e dados”.
Em 25 de novembro de 2023, aproximadamente às 16h00 EST, os administradores de rede da Vítima-1 começaram a receber notificações de redefinição de senha para uma conta de administrador de domínio e centenas de contas de usuário. Pouco depois, eles descobriram que todas as outras contas de administrador de domínio foram excluídas, bloqueando efetivamente o acesso do administrador de domínio às redes de computadores da empresa.
Rhyne foi preso no Missouri na terça-feira, 27 de agosto, e foi liberado após sua primeira aparição no tribunal federal de Kansas City. Ele enfrenta acusações de extorsão, danos intencionais ao computador e fraude eletrônica, que acarretam uma pena máxima de 35 anos de prisão e uma multa de US$ 750.000.
Fonte: BleepingComputer, Sergiu Gatlan