Un ancien ingénieur en infrastructure a reconnu sa culpabilité pour avoir verrouillé les administrateurs Windows sur 254 serveurs dans le cadre d’un plan d’extorsion raté visant son employeur, une société industrielle basée dans le comté de Somerset, dans le New Jersey.
Daniel Rhyne, 57 ans, originaire de Kansas City, Missouri, aurait accédé à distance au réseau de l’entreprise sans autorisation en utilisant un compte administrateur entre le 9 et le 25 novembre. Pendant cette période, il aurait programmé des tâches sur le contrôleur de domaine Windows de l’entreprise pour supprimer les comptes administrateurs réseau et modifier les mots de passe de 13 comptes administrateurs de domaine ainsi que de 301 comptes d’utilisateurs de domaine en les remplaçant par « TheFr0zenCrew! ».
Les procureurs ont également affirmé que Rhyne avait programmé des tâches visant à changer les mots de passe de deux comptes administrateurs locaux, affectant 3 284 stations de travail, et de deux autres comptes qui impacteraient 254 serveurs au sein du réseau de son employeur. Il a également planifié des arrêts aléatoires de serveurs et stations de travail sur le réseau pendant plusieurs jours en décembre 2023.
Le 25 novembre, Rhyne a envoyé un courriel à plusieurs de ses collègues, intitulé « Votre réseau a été pénétré », dans lequel il affirmait que tous les administrateurs IT avaient été bloqués et que les sauvegardes des serveurs avaient été supprimées, rendant la récupération des données impossible.
Ce courriel contenait également des menaces de désactiver 40 serveurs aléatoires par jour pendant dix jours à moins que la société ne paie une rançon de 20 bitcoin (valant environ 750 000 dollars à l’époque).
« Le 25 novembre 2023, vers 16h00 EST, les administrateurs réseau de l’entreprise Victim-1 ont commencé à recevoir des notifications de réinitialisation de mot de passe pour un compte administrateur de domaine de Victim-1, ainsi que pour des centaines de comptes utilisateurs de Victim-1 », selon la plainte criminelle.
« Peu après, les administrateurs réseau de Victim-1 ont découvert que tous les autres comptes administrateurs de domaine de Victim-1 avaient été supprimés, rendant l’accès aux réseaux informatiques de Victim-1 impossible pour eux. »
Des enquêteurs en criminalistique ont découvert que le 22 novembre, Rhyne avait utilisé une machine virtuelle cachée et son compte pour rechercher sur internet des informations sur l’effacement des journaux Windows, le changement de mots de passe des utilisateurs de domaine et la suppression de comptes de domaine dans le cadre de son plan d’extorsion.
Une semaine plus tôt, il avait effectué des recherches similaires depuis son ordinateur portable, telles que « ligne de commande pour changer à distance le mot de passe de l’administrateur local ».
Rhyne a été arrêté dans le Missouri le mardi 27 août et a été relâché après sa première comparution en cour fédérale. Les charges d’extorsion et de piratage auxquelles il a plaidé coupable peuvent entraîner une peine maximale de 15 ans de prison.
Plus tôt ce mois-ci, un contractuel analyste de données de la Caroline du Nord a été reconnu coupable d’extorsion envers son employeur, Brightly Software (une société SaaS précédemment connue sous le nom de SchoolDude), pour un montant de 2,5 millions de dollars.