Un ancien ingénieur en infrastructure de base d’une entreprise industrielle dont le siège est dans le comté de Somerset, dans le New Jersey, a été arrêté après avoir verrouillé les administrateurs Windows sur 254 serveurs dans un complot d’extorsion raté visant son employeur.
Selon des documents judiciaires, les employés de l’entreprise ont reçu un e-mail de rançon intitulé « Votre réseau a été pénétré » le 25 novembre, vers 16h44 HNE. L’e-mail affirmait que tous les administrateurs informatiques avaient été exclus de leurs comptes et que les sauvegardes du serveur avaient été supprimées pour rendre la récupération des données impossible.
De plus, le message menaçait de fermer quotidiennement 40 serveurs aléatoires sur le réseau de l’entreprise au cours des dix prochains jours, à moins qu’une rançon de 700 000 €(sous la forme de 20 Bitcoins) ne soit payée—à l’époque, 20 BTC valaient 750 000$.
L’enquête coordonnée par l’agent spécial du FBI James E. Dennehy à Newark a révélé que Daniel Rhyne, 57 ans, de Kansas City, Missouri, qui travaillait comme ingénieur en infrastructure de base pour la société industrielle du New Jersey, avait accédé à distance aux systèmes informatiques de l’entreprise sans autorisation en utilisant un compte administrateur de l’entreprise entre le 9 et le 25 novembre.
Il a ensuite planifié des tâches sur le domaine de l’entreprise contrôlé pour changer les mots de passe du compte administrateur, 13 comptes d’administrateur de domaine et 301 comptes d’utilisateurs de domaine en « TheFr0zenCrew! »chaîne de texte.
La plainte pénale allègue que Rhyne a également planifié des tâches pour changer les mots de passe de deux comptes d’administrateur local, ce qui aurait un impact sur 254 serveurs, et pour deux autres comptes d’administrateur local, ce qui affecterait 3 284 postes de travail sur le réseau de son employeur. Il a également planifié certaines tâches pour arrêter des serveurs et des postes de travail aléatoires sur plusieurs jours en décembre 2023.
Exposé par des recherches Web incriminantes
Les enquêteurs ont également découvert lors d’une analyse médico-légale que, lors de la planification de son complot d’extorsion, Rhyne aurait utilisé une machine virtuelle cachée à laquelle il avait accédé à l’aide de son compte et de son ordinateur portable pour rechercher sur le Web le 22 novembre des informations sur la suppression des comptes de domaine, l’effacement des journaux Windows et la modification des mots de passe des utilisateurs du domaine à l’aide de la ligne de commande.
Le 15 novembre, Rhyne a également effectué des recherches Web similaires sur son ordinateur portable, notamment « ligne de commande pour changer le mot de passe de l’administrateur local » et « ligne de commande pour changer à distance le mot de passe de l’administrateur local. »
« En modifiant les mots de passe des administrateurs et des utilisateurs et en fermant les serveurs de Victim-l, les tâches planifiées ont été conçues collectivement et destinées à refuser à Victim-1 l’accès à ses systèmes et données », indique la plainte pénale.
« Le ou vers le 25 novembre 2023, vers 16h00 HNE, les administrateurs réseau employés chez Victim-1 ont commencé à recevoir des notifications de réinitialisation de mot de passe pour un compte d’administrateur de domaine Victim-1, ainsi que des centaines de comptes d’utilisateurs Victim-1. Peu de temps après, les administrateurs réseau de la Victime 1 ont découvert que tous les autres comptes d’administrateur de domaine de la Victime 1 avaient été supprimés, refusant ainsi à l’administrateur de domaine l’accès aux réseaux informatiques de la Victime 1. »
Rhyne a été arrêté dans le Missouri le mardi 27 août et a été libéré après sa comparution initiale devant le tribunal fédéral de Kansas City. Les accusations d’extorsion, de dommages informatiques intentionnels et de fraude électronique sont passibles d’une peine maximale de 35 ans de prison et d’une amende de 750 000$.