Een voormalig engineer voor kerninfrastructuur bij een industrieel bedrijf met hoofdkantoor in Somerset County, New Jersey, is gearresteerd nadat hij Windows admins had buitengesloten van 254 servers in een mislukte afpersingspoging gericht op zijn werkgever.

Volgens gerechtelijke documenten ontvingen medewerkers van het bedrijf op 25 november rond 16:44 uur EST een losgeld e-mail met de titel “Uw netwerk is gehackt.” In de e-mail werd beweerd dat alle IT-beheerders buitengesloten waren van hun accounts en dat serverback-ups waren verwijderd om gegevensherstel onmogelijk te maken.

Bovendien dreigde het bericht dagelijks 40 willekeurige servers op het netwerk van het bedrijf uit te schakelen gedurende de volgende tien dagen, tenzij een losgeld van €700.000 (in de vorm van 20 Bitcoin) werd betaald. Destijds waren 20 BTC €750.000 waard.

Het onderzoek, gecoördineerd door FBI Special Agent James E. Dennehy in Newark, bracht aan het licht dat de 57-jarige Daniel Rhyne uit Kansas City, Missouri, die als kerninfrastructuur engineer werkte voor het industriële bedrijf in New Jersey, tussen 9 november en 25 november op afstand toegang had gekregen tot de computersystemen van het bedrijf zonder toestemming, met behulp van een administratoraccount van het bedrijf.

Vervolgens plande hij taken in op het domein van het bedrijf om de wachtwoorden van het Administrator-account, 13 domeinadministratoraccounts en 301 domeingebruikersaccounts te wijzigen naar de tekststring “TheFr0zenCrew!”.

De strafrechtelijke klacht beweert dat Rhyne ook taken plande om de wachtwoorden te wijzigen van twee lokale administratoraccounts, wat invloed zou hebben op 254 servers, en van nog eens twee lokale admin-accounts, wat invloed zou hebben op 3.284 werkstations op het netwerk van zijn werkgever. Hij plande ook enkele taken in om willekeurige servers en werkstations gedurende meerdere dagen in december 2023 uit te schakelen.

Blootgelegd door belastende zoekopdrachten op het web

De onderzoekers vonden tijdens de forensische analyse ook dat Rhyne tijdens het plannen van zijn afpersingspoging naar verluidt een verborgen virtuele machine gebruikte die hij benaderde met behulp van zijn account en laptop om op 22 november op het web te zoeken naar informatie over hoe je domeinaccounts verwijdert, Windows-logboeken wist en domeingebruikerswachtwoorden wijzigt met behulp van de opdrachtregel.

Op 15 november deed Rhyne ook soortgelijke zoekopdrachten op zijn laptop, waaronder “command line om lokaal administrator wachtwoord te wijzigen” en “commando-regel om lokaal administrator wachtwoord op afstand te wijzigen.”

“Door de wachtwoorden van administrators en gebruikers te veranderen en de servers van Slachtoffer-1 uit te schakelen, waren de geplande taken collectief ontworpen en bedoeld om Slachtoffer-1 de toegang tot zijn systemen en gegevens te ontzeggen,” leest de strafrechtelijke klacht.

“Op of omstreeks 25 november 2023, rond 16:00 uur EST, begonnen netwerkbeheerders in dienst van Slachtoffer-1 wachtwoordherstelmeldingen te ontvangen voor een domeinadministratoraccount van Slachtoffer-1, evenals voor honderden gebruikersaccounts van Slachtoffer-1. Kort daarna ontdekten de netwerkbeheerders van Slachtoffer-1 dat alle andere domeinadministratoraccounts van Slachtoffer-1 waren verwijderd, waardoor domeinadministrator toegang tot de computernetwerken van Slachtoffer-1 werd ontzegd.”

Rhyne werd op dinsdag 27 augustus in Missouri gearresteerd en werd vrijgelaten na zijn eerste verschijning voor de federale rechtbank in Kansas City. De aanklachten voor afpersing, opzettelijke computersabotage en draadfraude dragen een maximale straf van 35 jaar gevangenisstraf en een boete van €750.000.