一名前 IT 工程师在美国面临联邦指控,此前他的前雇主发现其计算机系统已被锁定并收到 750,000 美元的索要。
美国东部标准时间 2023 年 11 月 25 日下午 4 点左右,一家总部位于新泽西州萨默塞特县的工业公司的员工开始收到密码重置通知。不久之后,网络管理员发现域管理员帐户已被删除,拒绝访问该公司的计算机系统。
44 分钟后,员工收到了一封来自外部地址的勒索电子邮件,主题行为“您的网络已被渗透”。
该电子邮件警告该公司,其所有管理员都已被锁定或从网络中删除,公司的备份已被删除,如果不支付 20 比特币(约合 750,000 美元)的赎金,每天将关闭另外 40 台服务器。
来自密苏里州堪萨斯城的 57 岁 Daniel Rhyne 曾在该公司担任核心基础设施工程师,被指控在 2023 年 11 月 8 日至 25 日期间利用公司管理员帐户运行恶意命令,未经授权访问计算机系统:
- 将管理员密码更改为“TheFr0zenCrew!”
- 已删除的管理员帐户
- 将用户帐户密码更改为“TheFr0zenCrew!”
- 计划关闭大量服务器和工作站。
调查人员声称,他们设法将攻击查明为源自公司网络上运行的未经授权的虚拟机 (VM) 的远程桌面会话。还发现同一 VM 在攻击前进行了许多有罪的 Web 搜索,包括:
- “如何通过命令行设置域用户密码”
- “如何从命令行删除域 <原文如此> 帐户”
- “如何使用 CMD 远程关闭计算机”
- “如何从命令行清除所有 Windows 日志”
- 「 net user syntax change password (网络用户语法更改密码)」
根据法庭文件,该虚拟机是由分配给 Rhyne 的用户帐户和笔记本电脑访问的。据说当 VM 上进行 Internet 浏览时,Rhyne 的笔记本电脑会停止所有 Internet 浏览,这表明同一个人同时使用 VM 和 Rhyne 的笔记本电脑。
检察官还声称,该公司的闭路电视和物理访问日志记录了 Rhyne 实际进入其总部的时间。这些记录紧接在 Rhyne 的用户帐户登录他的笔记本电脑之前,在许多情况下,然后访问 VM。
对 Rhyne 的指控包括敲诈勒索、故意损坏受保护的计算机和电信欺诈。如果被判有罪,他可能面临最高 20 年的监禁和最高 750,000 美元的罚款。