Ein ehemaliger Kerninfrastruktur-Ingenieur hat sich schuldig bekannt, Windows-Admins aus 254 Servern ausgesperrt zu haben, als Teil eines gescheiterten Erpressungsversuchs gegen seinen Arbeitgeber, ein Industrieunternehmen mit Hauptsitz in Somerset County, New Jersey. Laut Gerichtsunterlagen hat der 57-jährige Daniel Rhyne aus Kansas City, Missouri, zwischen dem 9. und 25. November unbefugt über ein Administratorkonto auf das Netzwerk des Unternehmens zugegriffen. ### Der Angriff Während dieser Zeit soll er auf dem Windows-Domänencontroller des Unternehmens Aufgaben geplant haben, um Netzwerkadministrator-Konten zu löschen und die Passwörter für 13 Domänenadministrator-Konten und 301 Domänenbenutzerkonten in "TheFr0zenCrew!" zu ändern. Die Staatsanwaltschaft warf Rhyne außerdem vor, Aufgaben geplant zu haben, um die Passwörter für zwei lokale Administrator-Konten zu ändern, was 3.284 Arbeitsplätze betroffen hätte, und für zwei weitere lokale Administrator-Konten, was 254 Server im Netzwerk seines Arbeitgebers beeinträchtigt hätte. Er plante auch, im Dezember 2023 über mehrere Tage hinweg zufällige Server und Arbeitsplätze im Netzwerk herunterzufahren. ### Die Lösegeldforderung Anschließend, am 25. November, schickte Rhyne eine Lösegeldforderungs-E-Mail mit dem Titel "Ihr Netzwerk wurde kompromittiert" an einige seiner Kollegen. Darin hieß es, dass alle IT-Administratoren aus ihren Konten ausgesperrt worden seien und dass Server-Backups gelöscht worden seien, um eine Datenwiederherstellung unmöglich zu machen. Zusätzlich drohten die E-Mails damit, in den nächsten zehn Tagen täglich 40 zufällige Server abzuschalten, es sei denn, das Unternehmen zahlt ein Lösegeld von 20 Bitcoin (damals rund 750.000 US-Dollar wert). "Am oder um den 25. November 2023, gegen 16:00 Uhr EST, begannen Netzwerkadministratoren, die bei Victim-1 angestellt sind, Passwort-Reset-Benachrichtigungen für ein Victim-1-Domänenadministrator-Konto sowie für Hunderte von Victim-1-Benutzerkonten zu erhalten", heißt es in der Strafanzeige. "Kurz darauf stellten die Netzwerkadministratoren von Victim-1 fest, dass alle anderen Victim-1-Domänenadministrator-Konten gelöscht worden waren, wodurch der Zugriff auf die Computernetzwerke von Victim-1 durch Domänenadministratoren verweigert wurde." ### Forensische Beweise Forensische Ermittler stellten fest, dass Rhyne am 22. November eine versteckte virtuelle Maschine und sein Konto nutzte, um im Internet nach Informationen zum Löschen von **Windows**-Protokollen, zum Ändern von Domänenbenutzerpasswörtern und zum Löschen von Domänenkonten zu suchen, während er seinen Erpressungsplan ausarbeitete. Eine Woche zuvor hatte Rhyne ähnliche Websuchen auf seinem Laptop durchgeführt, darunter "Kommandozeile zum Ändern des lokalen Administratorpassworts aus der Ferne" und "Kommandozeile zum Ändern des lokalen Administratorpassworts". Rhyne wurde am Dienstag, dem 27. August, in Missouri verhaftet und nach seiner ersten Anhörung vor einem Bundesgericht freigelassen. Die Anklagen wegen Hacking und Erpressung, zu denen er sich schuldig bekannt hat, sehen eine Höchststrafe von 15 Jahren Gefängnis vor. Anfang dieses Monats wurde ein Auftragnehmer für Datenanalysen aus North Carolina für schuldig befunden, seinen Arbeitgeber, **Brightly Software** (ein Software-as-a-Service-Unternehmen, das früher als SchoolDude bekannt war), um 2,5 Millionen US-Dollar erpresst zu haben. <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q048zztN0">Automated Pentesting Covers Only 1 of 6 Surfaces.</a></h2> <p>Automated pentesting proves the path exists. BAS proves whether your controls stop it. Most teams run one without the other.</p> <p>This whitepaper maps six validation surfaces, shows where coverage ends, and provides practitioners with three diagnostic questions for any tool evaluation.</p> </div>