Un exingeniero de infraestructura central se declaró culpable de bloquear a los administradores de Windows de 254 servidores como parte de un plan de extorsión fallido dirigido a su empleador, una empresa industrial con sede en el condado de Somerset, Nueva Jersey. Según documentos judiciales, Daniel Rhyne, de 57 años y originario de Kansas City, Missouri, accedió de forma remota a la red de la empresa sin autorización utilizando una cuenta de administrador entre el 9 y el 25 de noviembre. ### El Ataque Durante este período, supuestamente programó tareas en el controlador de dominio de **Windows** de la empresa para eliminar cuentas de administradores de red y cambiar las contraseñas de 13 cuentas de administradores de dominio y 301 cuentas de usuarios de dominio a "TheFr0zenCrew!". Los fiscales también acusaron a Rhyne de programar tareas para cambiar las contraseñas de dos cuentas de administrador local, lo que afectaría a 3.284 estaciones de trabajo, y de dos cuentas de administrador local más, lo que impactaría a 254 servidores en la red de su empleador. También programó algunas tareas para apagar servidores y estaciones de trabajo aleatorias en la red durante varios días en diciembre de 2023. ### La Demanda de Rescate Posteriormente, el 25 de noviembre, Rhyne envió un correo electrónico a varios de sus compañeros de trabajo con el asunto "Su Red Ha Sido Penetrada", indicando que todos los administradores de TI habían sido bloqueados de sus cuentas y que las copias de seguridad de los servidores habían sido eliminadas para imposibilitar la recuperación de datos. Además, los correos electrónicos amenazaban con apagar 40 servidores aleatorios diariamente durante los siguientes diez días, a menos que la empresa pagara un rescate de 20 bitcoins (con un valor aproximado de $750,000 en ese momento). "Aproximadamente el 25 de noviembre de 2023, alrededor de las 4:00 p. m. EST, los administradores de red empleados en Víctima-1 comenzaron a recibir notificaciones de restablecimiento de contraseña para una cuenta de administrador de dominio de Víctima-1, así como para cientos de cuentas de usuario de Víctima-1", se lee en la denuncia penal. "Poco después, los administradores de red de Víctima-1 descubrieron que todas las demás cuentas de administrador de dominio de Víctima-1 habían sido eliminadas, negando así el acceso de administrador de dominio a las redes informáticas de Víctima-1". ### Evidencia Forense Los investigadores forenses descubrieron que el 22 de noviembre, Rhyne utilizó una máquina virtual oculta y su cuenta para buscar en la web información sobre cómo borrar registros de **Windows**, cambiar contraseñas de usuarios de dominio y eliminar cuentas de dominio mientras planeaba su complot de extorsión. Una semana antes, Rhyne realizó búsquedas web similares en su portátil, incluyendo "línea de comandos para cambiar remotamente la contraseña de administrador local" y "línea de comandos para cambiar la contraseña de administrador local". Rhyne fue arrestado en Missouri el martes 27 de agosto y liberado tras su comparecencia inicial ante un tribunal federal. Los cargos de hacking y extorsión a los que se declaró culpable conllevan una pena máxima de 15 años de prisión. A principios de este mes, un contratista analista de datos de Carolina del Norte fue declarado culpable de extorsionar a su empleador, **Brightly Software** (una empresa de Software como Servicio anteriormente conocida como SchoolDude), por $2.5 millones. <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q048zztN0">Las pruebas de penetración automatizadas cubren solo 1 de 6 superficies.</a></h2> <p>Las pruebas de penetración automatizadas demuestran que el camino existe. BAS demuestra si sus controles lo detienen. La mayoría de los equipos ejecutan una sin la otra.</p> <p>Este whitepaper mapea seis superficies de validación, muestra dónde termina la cobertura y proporciona a los profesionales tres preguntas de diagnóstico para cualquier evaluación de herramientas.</p> </div>