概要

Daniel Rhyne、59歳の元コアインフラエンジニアは、2026年4月1日、連邦ハッキングと脅迫罪に guilty を認めた。彼は2023年11月から始まった攻撃で、ニュージャージー州にある元雇用主のシステムをロックアップし、破壊した。

事件の詳細

Rhyneは、会社のドメインコントローラにアクセスするために非公式な仮想マシンを使用して、リモートデスクトップセッションを通じて侵入した。この隠れた環境から、彼は自動化されたスケジュールタスクを作成し、組織のネットワークを一貫して侵害するようにプログラムした。

これらのタスクは、13のドメイン管理者アカウントを削除し、301人のドメインユーザーのパスワードを「TheFr0zenCrew!」に変更することを計画していた。この行動により、組織は254台のWindowsサーバーと3,284台の従業員用ワークステーションへのアクセスを失った。

脅迫メール

Rhyneは2023年11月25日にサイバー攻撃を行い、従業員に「Your Network Has Been Penetrated」（あなたのネットワークが侵入されました）というタイトルの警告メールを送った。彼は20ビットコイン（当時の価値で約75万ドル）の身代金を要求し、支払いがない場合、40台のサーバーが1日あたり10日間シャットダウンされるだろうと脅迫した。

攻撃手法

Rhyneは高度なマルウェアを使用する代わりに、ネットワーク管理者を検出から隠すためにビルトインの管理ツールを利用した。彼は「net user」コマンドラインユーティリティを使用してドメインアカウントを変更し、既存のネットワーク管理者を削除した。

また、Sysinternalsの「PsPasswd」ツールを使用して、数千台の企業端末のローカル管理者資格情報をリモートで変更した。捜査官は彼の会社のラップトップが以前に特定のコマンドを検索していたことを発見し、そのIPアドレスから不審な接続があった。

結論

Rhyneは、組織のITインフラストラクチャに対する重大な影響を与え、企業に莫大な損失をもたらした。彼の行動は、内部からのサイバー攻撃がどれほど危険であるかを示している。

元記事: https://gbhackers.com/infrastructure-engineer-pleads-guilty-to-locking-254-windows-servers/