New Jersey eyaletine bağlı Somerset County’de merkezi bulunan bir sanayi şirketinde eski bir çekirdek altyapı mühendisi, işverenini hedef alan başarısız bir gasp planıyla Windows yöneticilerini 254 sunucudan uzaklaştırdıktan sonra tutuklandı.
Mahkeme belgelerine göre, şirket çalışanları 25 Kasım’da, 16:44 EST civarında “Ağınız Delindi” başlıklı bir fidye e-postası aldı. E-postada, tüm BT yöneticilerinin hesaplarının kilitlendiği ve veri kurtarmayı imkansız hale getirmek için sunucu yedeklerinin silindiği iddia ediliyordu.
Ayrıca mesajda, 700.000 €’luk (20 Bitcoin şeklinde) fidye ödenmediği takdirde önümüzdeki on gün boyunca şirketin ağındaki günlük 40 rastgele sunucunun kapatılacağı tehdidi de yer alıyordu; o dönemde 20 BTC’nin değeri 750.000 dolardı.
FBI’ın Newark’taki Özel Ajanı James E. Dennehy’nin koordine ettiği soruşturma, New Jersey’deki bir endüstri şirketinde altyapı mühendisi olarak çalışan 57 yaşındaki Kansas City, Missouri’li Daniel Rhyne’in, 9 Kasım ile 25 Kasım tarihleri arasında şirket yöneticisi hesabını kullanarak şirketin bilgisayar sistemlerine yetkisiz bir şekilde uzaktan eriştiğini ortaya çıkardı.
Daha sonra şirket kontrolündeki etki alanında, Yönetici hesabının, 13 etki alanı yönetici hesabının ve 301 etki alanı kullanıcı hesabının şifrelerini “TheFr0zenCrew!” metin dizesine değiştirmek için görevler planladı.
Cezai şikayette Rhyne’ın ayrıca iki yerel yönetici hesabı için parolaları değiştirmek için görevler planladığı ve bunun 254 sunucuyu etkileyeceği ve iki yerel yönetici hesabı için daha parolaları değiştirmek için görevler planladığı ve bunun da işverenin ağındaki 3.284 iş istasyonunu etkileyeceği iddia ediliyor. Ayrıca Aralık 2023’te birkaç gün boyunca rastgele sunucuları ve iş istasyonlarını kapatmak için bazı görevler planladı.
Suçlayıcı web aramalarıyla ifşa edildi
Soruşturmacılar ayrıca adli analiz sırasında Rhyne’nin gasp planını planlarken, 22 Kasım’da hesabını ve dizüstü bilgisayarını kullanarak eriştiği gizli bir sanal makineyi kullanarak web’de alan adı hesaplarının nasıl silineceği, Windows kayıtlarının nasıl temizleneceği ve komut satırını kullanarak alan adı kullanıcı parolalarının nasıl değiştirileceği hakkında bilgi aradığını tespit etti.
Rhyne 15 Kasım’da da dizüstü bilgisayarında “yerel yönetici parolasını değiştirmek için komut satırı” ve “yerel yönetici parolasını uzaktan değiştirmek için komut satırı” gibi benzer web aramaları yaptı.
Suç duyurusunda, “Yönetici ve kullanıcı şifrelerini değiştirerek ve Victim-l’in sunucularını kapatarak, planlanan görevler toplu olarak Victim-1’in sistemlerine ve verilerine erişimini engellemek için tasarlanmış ve amaçlanmıştır” ifadeleri yer alıyor.
“25 Kasım 2023’te veya civarında, yaklaşık 16:00 EST’de, Victim-1’de çalışan ağ yöneticileri, bir Victim-1 etki alanı yöneticisi hesabı ve yüzlerce Victim-1 kullanıcı hesabı için parola sıfırlama bildirimleri almaya başladı. Kısa bir süre sonra, Victim-1 ağ yöneticileri, diğer tüm Victim-1 etki alanı yöneticisi hesaplarının silindiğini ve böylece etki alanı yöneticisinin Victim-1’in bilgisayar ağlarına erişiminin engellendiğini keşfettiler.”
Rhyne, 27 Ağustos Salı günü Missouri’de tutuklandı ve Kansas City federal mahkemesindeki ilk duruşmasının ardından serbest bırakıldı. Gasp, kasıtlı bilgisayar hasarı ve telgraf dolandırıcılığı suçlamaları, azami 35 yıl hapis ve 750.000 dolar para cezası ile cezalandırılabilir.