元コアインフラエンジニアが、自社に対する破壊的なサイバー攻撃を指揮した罪で、連邦政府のハッキング罪と恐喝罪で有罪を認めました。この攻撃では数百台のサーバーをロックし、ビットコインの身代金を要求していました。
Rhyneは、2023年11月に始まった攻撃で、ニュージャージー州の前の工業用雇用主のシステムを破壊したことを認めました。この攻撃により、組織のITインフラが実質的に機能不全に陥りました。
高度なマルウェアを展開する代わりに、Rhyneは計算された手法を採用し、ネイティブのWindows管理ユーティリティを活用して検出を回避しました。
彼は不正な隠しバーチャルマシンを設置して、企業のドメインコントローラーへのリモートデスクトップアクセスを獲得しました。
この隠された環境から、彼は被害者のネットワークを系統的に解体するように設計された自動スケジュール済みタスクを構成しました。
これらの悪意のあるタスクは、13のドメイン管理者アカウントを削除し、301のドメインユーザーのパスワードを「TheFr0zenCrew!」という単一のフレーズにリセットするようにプログラムされていました。この詳細は後に彼に対する重大な法医学的証拠となりました。
その結果は深刻でした。Rhyneの行動により、254台のWindowsサーバーと3,284台の従業員のワークステーションから組織が締め出されました。
彼はまた、2023年12月の数日間にわたって、数十台の重要なサーバーをランダムにシャットダウンするコマンドをスケジュール設定し、重要なビジネス期間中に運用上の被害を悪化させました。
2023年11月25日、Rhyneは攻撃を開始し、従業員に「Your Network Has Been Penetrated」という件名の脅迫メールを送信しました。
メッセージは20ビットコイン(当時約750,000ドル)を要求し、身代金が支払われない場合、10日間毎日40台のサーバーがシャットダウンされると警告していました。
Rhyneのツールキットは完全に正規のシステムユーティリティで構成されていました。彼はWindows「net user」コマンドラインツールを使用してドメインアカウントを変更し、既存の管理者を削除しました。
彼はまた、Sysinternalsの「PsPasswd」ツールを展開して、数千の企業エンドポイント全体でローカル管理者パスワードをリモートで変更しました。これは「living off the land」(LotL)として知られる技術で、悪意のあるアクティビティを通常のシステム操作とブレンドするように設計されています。
調査官は、Rhyneの会社のラップトップがローカル管理者パスワードをリモートで変更するコマンドの調査に使用されたことを発見しました。
リモートアクセスログは、ニュージャージー州ウォーレン郡の彼の自宅IPアドレスへの不正な接続を追跡しました。
最も重要なことに、恐喝メールアカウントは彼の攻撃スクリプトに埋め込まれたのと同じパスワード「TheFr0zenCrew!」を使用していました。これにより彼は直接犯罪と結びつきました。
Rhyneは有罪答弁に続く判決に直面しており、連邦告発は不正なコンピュータアクセスと恐喝の両方を含んでいます。
翻訳元: https://cyberpress.org/infrastructure-engineer-pleads-guilty/