元コアインフラエンジニアが、ニュージャージー州サマセット郡に本社を置く工業会社である雇用主を標的とした失敗に終わった恐喝計画の一環として、254台のサーバーからWindows管理者をロックアウトしたことで有罪を認めた。
裁判文書によると、ミズーリ州カンザスシティの57歳のダニエル・ライン容疑者は、11月9日から11月25日の間に、管理者アカウントを使用して同社のネットワークに無許可でリモートアクセスした。
この期間中、同容疑者はネットワーク管理者アカウントを削除し、13個のドメイン管理者アカウントと301個のドメインユーザーアカウントのパスワードを「TheFr0zenCrew!」に変更するようにWindowsドメインコントローラー上でタスクをスケジュールしたとされている。
検察はまた、ライン容疑者が2つのローカル管理者アカウントのパスワード変更をスケジュール(3,284台のワークステーションに影響)し、さらに2つのローカル管理者アカウントのパスワード変更をスケジュール(雇用主のネットワークの254台のサーバーに影響)したと非難した。また、2023年12月の複数日にわたってネットワーク上のランダムなサーバーとワークステーションをシャットダウンするようにタスクをスケジュールした。
その後、11月25日、ライン容疑者は複数の同僚に「Your Network Has Been Penetrated(あなたのネットワークは侵害されました)」というタイトルの身代金メールを送り、すべてのIT管理者がアカウントからロックアウトされ、データ復旧を不可能にするためにサーバーバックアップが削除されたと述べた。
さらに、メールは同社が20ビットコイン(当時の価値は約750,000ドル)の身代金を支払わない限り、今後10日間毎日40台のランダムなサーバーをシャットダウンすると脅迫した。
「2023年11月25日頃、米国東部標準時午後4時頃、被害者1に雇用されているネットワーク管理者は、被害者1ドメイン管理者アカウントのパスワードリセット通知を受け取り始め、また被害者1ユーザーアカウント数百件も同様である」と刑事告発状は述べている。
「その直後、被害者1のネットワーク管理者は、他のすべての被害者1ドメイン管理者アカウントが削除されたことを発見し、それにより被害者1のコンピューターネットワークへのドメイン管理者アクセスが拒否された。」
フォレンジック調査官は、11月22日にライン容疑者が隠されたバーチャルマシンと自分のアカウントを使用して、恐喝計画を計画する際にWindowsログのクリア、ドメインユーザーパスワードの変更、ドメインアカウント削除に関する情報をウェブで検索したことを発見した。
1週間前、ライン容疑者はラップトップで「ローカル管理者パスワードをリモートで変更するコマンドライン」および「ローカル管理者パスワードを変更するコマンドライン」を含む同様のウェブ検索を行った。
ライン容疑者は8月27日火曜日にミズーリ州で逮捕され、連邦裁判所での初公判後に釈放された。有罪を認めたハッキングおよび恐喝罪は、最大15年の懲役刑に処せられる可能性がある。
今月初め、ノースカロライナ州のデータアナリスト契約業者が、以前はSchoolDudeとして知られていたSoftware-as-a-Serviceの企業であるBrightly Softwareから250万ドルを恐喝した罪で有罪となった。
