Поделиться
Админ взломал сеть бывшего работодателя, заблокировал 250 серверов и уничтожил бэкапы. Его хотят упечь в тюрьму на 35 лет
Бывший администратор американской корпорации заблокировал несколько сотен серверов с целью выманить у экс-работодателя крупный выкуп. Он хорошо подготовился – чтобы его затея выгорела, он сначала сбросил пароли учетных записей администраторов, чтобы те ему не помешали. Но до конца реализовать план не удалось – вымогателя поймали и хотят бросить в тюрьму более чем на 30 лет, хотя он сам уже немолод. К моменту освобождения ему будет 92 года.
Преступление космических масштабов
Экс-инженер по базовой ИТ-инфраструктуре крупной американской корпорации оказался под арестом за успешную попытку взлома сотен серверов бывшего работодателя и требование с него выкупа, пишет портал Bleeping Computer. Ему удалось заблокировать администраторам корпорации доступ к 254 серверам под управлением Windows Server. Название корпорации в документах суда не приводится – в них она обозначается как «Жертва-1» (Victim-1).
Согласно судебным документам, в ноябре 2023 г. 57-летний инженер Дэниел Райн (Daniel Rhyne) разослал сотрудникам компании, в которой ранее работал, письмо с предупреждением о взломе корпоративной сети. В письме он написал, что заблокировал администраторам доступ к своим аккаунтам и попутно удалил все резервные копии, чтобы не было возможности восстановить информацию.
Также Райн предупредил, что будет выводить из строя по 40 серверов в день, если ему не заплатят 20 биткоинов, что на тот момент составляло около $750 тыс.
Очень коварный замысел
Расследование взлома корпоративной сети неназванной американской компании координировал специальный агент ФБР Джеймс Деннехи (James Dennehy). Следователи выяснили, что Райн в период с 9 по 25 ноября 2023 г. получил удаленный доступ к компьютерным системам компании без официального на то разрешения. При этом он использовал скомпрометированную учетную запись администратора компании.
После проникновения сеть Райн запланировал ряд задач на контролируемом домене – все они касались изменения паролей учетных записей администраторов. В общей сложности он запланировал смену паролей в 14 учетках администраторов и в 301 пользовательском профиле на значение «TheFr0zenCrew!»
Согласно судебным документам, Райн также запланировал задачи по смене паролей для двух учетных записей локальных администраторов, что отразилось на работе 254 серверов. Помимо этого, он решил сменить пароли еще двух локальных администраторов, что повлияло бы на 3284 рабочих станции в сети его бывшего работодателя.
Но этим Райн ограничиваться не стал. Он внес в планировщик задач отключение случайных серверов в течение нескольких дней в декабре 2023 г.
Одна ошибка – и хакер пойман
Райн прокололся на том, что для взлома использовал скрытую виртуальную машину, к которой подключался, как выяснили следователи, со своего личного ноутбука, используя личную учетную запись. На его ноутбуке позже обнаружилась история веб-серфинга – как оказалось, 22 ноября 2023 г. Райн искал в Сети информации о том, как удалить учетные записи домена, очистить журналы Windows и изменить пароли пользователей домена с помощью командной строки.
Неделей ранее, 15 ноября 2023 г., Райн выполнял похожий поиск в интернете на своем ноутбуке. Один из его запросов, сделанных в этот день – это «командная строка для изменения пароля локального администратора», другой – «командная строка для удаленного изменения пароля локального администратора».
«25 ноября 2023 г. примерно в 16:00 по восточноевропейскому времени сетевые администраторы, работающие в Victim-1, начали получать уведомления о сбросе пароля для учетной записи администратора домена Victim-1, а также для сотен учетных записей пользователей Victim-1. Вскоре после этого сетевые администраторы Victim-1 обнаружили, что все остальные учетные записи администраторов домена Victim-1 были удалены, тем самым лишив администратора домена доступа к компьютерным сетям Victim-1», – указано в документах суда.
Престарелый киберпреступник
Промежуточным итогом расследования стал арест Райна, состоявшийся 27 августа 2024 г. На этот момент ему было 57 лет. Правда, после первой же явки в суд в Канзас-Сити (США) он был временно освобожден из-под стражи, пишет Bleeping Computer.
Но при этом Райну предъявили обвинения в вымогательстве, преднамеренном повреждении компьютера и мошенничестве с использованием электронных средств связи. Если по решению суда его признают виновным, перед ним замаячит перспектива провести в тюрьме до 35 лет своей жизни. Это максимальное наказание, которое его ждет, не считая штраф в размере $750 тыс., то есть Райн рискует освободиться в возрасте 92 лет.
Короткая ссылка
