57-годишният Даниел Райн, бивш инженер по инфраструктура, се призна за виновен по обвинения в кибератака и опит за изнудване срещу индустриална компания, базирана в щата Ню Джърси. Случаят подчертава сериозните рискове, свързани с вътрешни заплахи и злоупотреба с администраторски достъп.

Според съдебните документи, в периода между 9 и 25 ноември 2023 г., той е осъществил неоторизиран отдалечен достъп до корпоративната мрежа, използвайки администраторски акаунт.

Целенасочено компрометиране на Active Directory

Атаката е била внимателно планирана и насочена към критичната инфраструктура на организацията:

• Изтриване на администраторски акаунти в Windows домейна
• Промяна на пароли на 13 domain admin акаунта и 301 потребителски акаунта
• Масово задаване на една и съща парола: „TheFr0zenCrew!“
• Компрометиране на локални администраторски акаунти, засягащи:
  • 3,284 работни станции
  • 254 сървъра

Допълнително, нападателят е конфигурирал задачи за произволно изключване на сървъри и устройства, създавайки оперативен хаос.

Изнудване с криптовалута и заплахи за ескалация

На 25 ноември той изпраща имейл със заглавие “Your Network Has Been Penetrated”, в който:

• твърди, че всички ИТ администратори са блокирани
• заявява, че резервните копия са изтрити
• заплашва да изключва по 40 сървъра дневно

Изискваният откуп е 20 биткойна, или приблизително:
Bitcoin на стойност около 750,000 долара към онзи момент.

Форензика: предварително планиране и опити за прикриване

Разследването разкрива, че атаката не е импулсивна:

• Използвана е скрита виртуална машина
• Извършвани са търсения за:
  • изчистване на Windows логове
  • промяна на пароли чрез команден ред
  • изтриване на домейн акаунти

Тези действия ясно показват умишлена подготовка за саботаж и прикриване на следите.

Правни последици

Райн е арестуван в щата Mисури и е признал вината си. Обвиненията могат да доведат до 15 години затвор.

Тенденция: растящ риск от вътрешни атаки

Случаят не е изолиран. Наскоро друг инцидент включва изнудване на SaaS компанията Brightly Software (бивша SchoolDude), при което вътрешен изпълнител е осъден за опит да изкопчи 2.5 милиона долара.

3ащо вътрешните заплахи са толкова опасни

Вътрешните атаки са особено критични, защото:

• използват легитимни достъпи
• заобикалят традиционните защитни механизми
• позволяват дълбок достъп до ключови системи, като Active Directory

Ключови изводи за организациите

• Строг контрол на привилегиите (least privilege)
• Мониторинг на администраторски действия в реално време
• Zero Trust архитектура
• Разделяне на отговорностите (segregation of duties)
• Непроменяеми (immutable) бекъпи

Инцидентът демонстрира, че най-голямата заплаха за една организация често идва отвътре. Комбинацията от технически знания и привилегирован достъп може да доведе до сериозни щети, ако липсват адекватни контролни механизми.