Um ex-engenheiro de infraestrutura principal se declarou culpado de bloquear administradores do Windows de 254 servidores como parte de um plano de extorsão fracassado contra seu empregador, uma empresa industrial sediada no Condado de Somerset, Nova Jersey. De acordo com documentos judiciais, **Daniel Rhyne**, de 57 anos, de Kansas City, Missouri, acessou remotamente a rede da empresa sem autorização usando uma conta de administrador entre 9 e 25 de novembro. ### O Ataque Durante todo esse período, ele supostamente agendou tarefas no controlador de domínio **Windows** da empresa para excluir contas de administradores de rede e alterar as senhas de 13 contas de administrador de domínio e 301 contas de usuário de domínio para "TheFr0zenCrew!". Os promotores também acusaram Rhyne de agendar tarefas para alterar as senhas de duas contas de administrador local, o que afetaria 3.284 estações de trabalho, e de duas outras contas de administrador local, o que impactaria 254 servidores na rede de seu empregador. Ele também agendou algumas tarefas para desligar servidores e estações de trabalho aleatórios na rede ao longo de vários dias em dezembro de 2023. ### A Demanda de Resgate Posteriormente, em 25 de novembro, Rhyne enviou um e-mail para vários de seus colegas com o título "Sua Rede Foi Invadida", afirmando que todos os administradores de TI haviam sido bloqueados de suas contas e que os backups dos servidores haviam sido excluídos para tornar a recuperação de dados impossível. Além disso, os e-mails ameaçavam desligar 40 servidores aleatórios diariamente nos próximos dez dias, a menos que a empresa pagasse um resgate de 20 bitcoins (avaliados em aproximadamente US$ 750.000 na época). "Em ou por volta de 25 de novembro de 2023, aproximadamente às 16:00 EST, administradores de rede empregados pela Vítima-1 começaram a receber notificações de redefinição de senha para uma conta de administrador de domínio da Vítima-1, bem como centenas de contas de usuário da Vítima-1", afirma a denúncia criminal. "Pouco tempo depois, os administradores de rede da Vítima-1 descobriram que todas as outras contas de administrador de domínio da Vítima-1 foram excluídas, negando assim o acesso de administrador de domínio às redes de computadores da Vítima-1." ### Evidências Forenses Investigadores forenses descobriram que, em 22 de novembro, Rhyne usou uma máquina virtual oculta e sua conta para pesquisar na web informações sobre como limpar logs do **Windows**, alterar senhas de usuários de domínio e excluir contas de domínio enquanto planejava seu esquema de extorsão. Uma semana antes, Rhyne fez pesquisas semelhantes em seu laptop, incluindo "linha de comando para alterar remotamente a senha de administrador local" e "linha de comando para alterar a senha de administrador local". Rhyne foi preso no Missouri na terça-feira, 27 de agosto, e liberado após sua aparição inicial em um tribunal federal. As acusações de hacking e extorsão às quais ele se declarou culpado acarretam uma pena máxima de 15 anos de prisão. No início deste mês, um contratado de analista de dados da Carolina do Norte foi considerado culpado de extorquir seu empregador, **Brightly Software** (uma empresa de Software como Serviço anteriormente conhecida como SchoolDude), em US$ 2,5 milhões. <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q048zztN0">Pentest Automatizado Cobre Apenas 1 de 6 Superfícies.</a></h2> <p>Pentest automatizado prova que o caminho existe. BAS prova se seus controles o impedem. A maioria das equipes executa um sem o outro.</p> <p>Este whitepaper mapeia seis superfícies de validação, mostra onde a cobertura termina e fornece aos profissionais três perguntas diagnósticas para qualquer avaliação de ferramenta.</p> </div>