.
Um ex-engenheiro de infraestrutura que supostamente bloqueou colegas do departamento de TI dos sistemas de seu empregador e ameaçou desligar os servidores a menos que pagasse um resgate foi preso e acusado após uma investigação do FBI.
Daniel Rhyne, 57, de Kansas City, Missouri, agora pode pegar até 35 anos de prisão pela suposta tentativa frustrada de resgate, após ser acusado de uma acusação de extorsão em relação a uma ameaça de causar danos a um computador protegido, uma acusação de dano intencional a um computador protegido e uma acusação de fraude eletrônica.
De acordo com documentos judiciais [PDF]Rhyne elaborou o esquema em novembro de 2023 enquanto trabalhava para uma empresa industrial não identificada, sediada no Condado de Somerset, Nova Jersey.
Seu esquema de extorsão começou por volta das 16:00 EST em 25 de novembro de 2023, é alegado, quando administradores de rede receberam notificações de redefinição de senha para uma conta de administrador de domínio e centenas de contas de usuário. Cerca de 44 minutos depois, os funcionários da empresa receberam um e-mail com o assunto: “Sua rede foi penetrada”.
O e-mail alertou os trabalhadores de que todos os administradores de TI foram bloqueados, ou tiveram suas contas excluídas, e todos os backups foram apagados. Então veio a ameaça de desligar 40 servidores por dia até que um resgate fosse pago.
Rhyne supostamente agendou tarefas para excluir 13 contas de administrador de domínio e alterar as senhas pertencentes a 301 contas de usuário de domínio e duas contas de administrador local. Isso bloquearia esses usuários de 254 servidores Windows.
O suposto administrador de sistemas sinistro também alterou as senhas de duas outras contas de administrador local, o que afetaria 3.284 estações de trabalho, e desligou “vários” servidores e estações de trabalho ao longo de vários dias a partir de dezembro de 2023, alegaram os promotores.
Dizem que Rhyne usou o net user do Windows e a ferramenta PsPasswd da Sysinternals Utilities para modificar essas contas e alterar as senhas para “TheFr0zenCrew!”
Muito criativo. Mas talvez ele devesse ter deixado passar, se os federais estiverem certos, porque eles alegam que rastrearam uma máquina virtual oculta usada para acessar remotamente uma conta de administrador até o laptop fornecido pela empresa de Rhyne. Ele também usou a mesma senha, “TheFr0zenCrew!” para essa conta comprometida.
Os documentos judiciais também detalham o suposto histórico de pesquisas na web de Rhyne, que, segundo os promotores, incluía pesquisas por frases como “linha de comando para alterar a senha”, “linha de comando para alterar a senha do administrador local” e “linha de comando para alterar remotamente a senha do administrador local”.
(Nota para mim mesmo: não pesquise no Google “como se livrar de um corpo sem ser pego”.)
Além disso, as câmeras de segurança e os registros de acesso da empresa supostamente registraram Rhyne entrando no prédio imediatamente antes de fazer login em seu laptop da empresa, realizando buscas suspeitas e consultando planilhas de senhas da empresa, além de acessar a VM oculta.
Rhyne fez sua primeira aparição no tribunal federal de Kansas City em 27 de agosto.
A acusação de extorsão em relação a uma ameaça de causar danos a um computador protegido acarreta uma pena máxima de cinco anos de prisão e uma multa de $ 250.000. A acusação de dano intencional a um computador protegido acarreta uma pena máxima de 10 anos e uma multa de $ 250.000. E o crime de fraude eletrônica acarreta uma pena máxima de 20 anos atrás das grades e uma multa de $ 250.000. ®
.
