59歳の元コアインフラストラクチャエンジニアであるダニエル・ラインは、2026年4月1日に連邦コンピュータ詐欺・恐喝罪に有罪答弁を行いました。
彼は2023年11月に始まった攻撃で、ニュージャージー州に拠点を置く前雇用主の管理者をロックアウトしシステムを破壊したことを認めました。ラインはトレントン連邦裁判所のマイケル・A・シップ連邦地裁判事の前で有罪答弁を行いました。
ラインは権限なしの隠蔽された仮想マシンをデプロイして、リモートデスクトップセッション経由でcompanyのドメインコントローラーにアクセスしました。
この隠蔽された環境から、犠牲者のネットワークを体系的に侵害するよう設計された自動スケジュール済みタスクを作成しました。
これらのタスクは、13個のドメイン管理者アカウントを削除し、301個のドメインユーザーのパスワードを「TheFr0zenCrew!」に変更するようプログラムされていました。
インフラストラクチャへの甚大な影響
悪意のあるスケジュール済みタスクは、その産業企業の広大なITインフラストラクチャ全体のローカル管理者認証情報をターゲットにしていました。
このアクションにより、組織は254台のWindowsサーバーと3,284台の従業員ワークステーションから効果的にロックアウトされました。
さらに、ラインは2023年12月の数日間にわたって数十台の重要なサーバーをランダムにシャットダウンするコマンドをスケジュールしました。
2023年11月25日、ラインはサイバー攻撃を実行し、「あなたのネットワークが侵害されました」というタイトルで従業員にアラーム的なメールを送信しました。裁判所文書で報告されている通り。
彼は20ビットコインの身代金を要求しました。当時のインシデントで約750,000ドルの価値がありました。メッセージは支払いを受け取らない場合、10日間毎日40台のサーバーがシャットダウンされると脅していました。
ラインは高度なマルウェアを使用する代わりに、検出を回避しながら攻撃を調整するために組み込みの管理ツールを活用しました。
彼は「net user」コマンドラインユーティリティを使用してドメインアカウントを変更し、既存のネットワーク管理者を排除しました。
さらに、彼はSysinternals「PsPasswd」ツールをデプロイして、数千の企業エンドポイント全体でローカル管理認証情報をリモートで変更しました。
調査官は、ラインの会社用ラップトップが以前、ローカル管理者パスワードをリモートで変更する方法に関する特定のコマンドを検索するために使用されていたことを発見しました。
リモートアクセスログには、ニュージャージー州ウォーレン郡の彼の自宅IPアドレスから直接発生した権限なしの接続が表示されていました。
当局は、恐喝メールアカウントが正確に同じ「TheFr0zenCrew!」を使用していることを発見したとき、最終的に彼のアイデンティティを確認しました。
翻訳元: https://gbhackers.com/infrastructure-engineer-pleads-guilty-to-locking-254-windows-servers/
