Hacker

ニュージャージー州サマセット郡に本社を置く工業会社の元基幹インフラエンジニアが、雇用主を標的にした恐喝計画に失敗し、254台のサーバーからWindows管理者を締め出した後に逮捕された。

裁判資料によると、同社の従業員は11月25日午後4時44分(米国東部標準時)ごろ、「Your Network Has Been Penetrated(あなたのネットワークに侵入されました)」というタイトルの身代金要求メールを受け取った。そのメールは、すべてのIT管理者がアカウントからロックアウトされ、サーバーのバックアップが削除され、データ復旧が不可能になったと主張していた。

さらに、身代金として70万ユーロ(20ビットコイン)を支払わない限り、今後10日間にわたって毎日、社内ネットワーク上のランダムな40台のサーバーをシャットダウンすると脅迫していた(当時、20ビットコインは75万ドルの価値があった)。

ニューアークのFBI特別捜査官ジェームズ・E・デネヒーがコーディネートした捜査の結果、ニュージャージー州の工業会社で基幹インフラエンジニアとして働いていたミズーリ州カンザスシティ出身の57歳のダニエル・ラインが、11月9日から11月25日の間、会社の管理者アカウントを使って会社のコンピューターシステムに無許可でリモートアクセスしていたことが判明した。

そして、管理者アカウント、13のドメイン管理者アカウント、301のドメインユーザーアカウントのパスワードを「TheFr0zenCrew!

刑事告訴によると、リンはまた、254台のサーバーに影響を与える2つのローカル管理者アカウントのパスワードを変更するタスクと、雇用主のネットワーク上の3,284台のワークステーションに影響を与えるさらに2つのローカル管理者アカウントのパスワードを変更するタスクをスケジュールしたという。彼はまた、2023年12月の複数日にわたって、ランダムなサーバーとワークステーションをシャットダウンするタスクをいくつかスケジュールした。

ウェブ検索で暴露

捜査当局はまた、フォレンジック分析で、恐喝計画を計画している間、Rhyneは自分のアカウントとラップトップを使ってアクセスした隠し仮想マシンを使って、11月22日にドメインアカウントを削除し、Windowsのログを消去し、コマンドラインを使ってドメインユーザーのパスワードを変更する方法に関する情報をウェブで検索したとされることを発見した。

11月15日、Rhyneは自分のノートパソコンで、”command line to change local administrator password “や “command line to remotely change local administrator password “などの同様のウェブ検索も行った。

“管理者とユーザーのパスワードを変更し、被害者lのサーバーをシャットダウンすることによって、スケジュールされたタスクは、被害者-1のシステムとデータへのアクセスを拒否するために設計され、意図されたものであった “と刑事告訴状には書かれている。

「2023年11月25日午後4時頃(米国東部標準時)、Victim-1のネットワーク管理者は、Victim-1のドメイン管理者アカウントと数百のVictim-1ユーザーアカウントのパスワードリセット通知を受け取り始めた。その直後、Victim-1のネットワーク管理者は、他のすべてのVictim-1のドメイン管理者アカウントが削除されていることを発見し、それによってVictim-1のコンピュータネットワークへのドメイン管理者のアクセスを拒否した。”

Rhyneは8月27日火曜日にミズーリ州で逮捕され、カンザスシティ連邦裁判所への初出頭の後、釈放された。恐喝、意図的なコンピューター損害、および電信詐欺の罪には、最高で懲役35年、罰金75万ドルが科される。