Un hombre de 57 años de edad, que trabajaba como ingeniero de infraestructura central para una empresa industrial de Nueva Jersey (Estados Unidos) fue arrestado tras un fallido intento de extorsión dirigido a su empleador.
El sujeto, identificado por el FBI como Daniel Rhyne, de Kansas City (Missouri) bloqueó a los administradores de Windows de 254 servidores.
De acuerdo con la denuncia penal, los empleados de la compañía no identificada recibieron un correo electrónico de rescate titulado “Su red ha sido penetrada” el pasado 25 de noviembre.
El mensaje afirmaba que todos los administradores de IT habían sido bloqueados de sus cuentas y que las copias de seguridad del servidor se habían eliminado para hacer imposible la recuperación de datos.
El correo también amenazaba con cerrar 40 servidores aleatorios en la red de la empresa diariamente durante los siguientes 10 días a menos que se pagara un rescate de aproximadamente $750,000 dólares en bitcoins.
El plan
De acuerdo con la investigación del FBI en Newark, el ingeniero accedió de forma remota a los sistemas de la empresa sin autorización mediante una cuenta de administrador entre el 9 y el 25 de noviembre de 2023.
Luego programó tareas en el dominio controlado de la empresa para cambiar las contraseñas de la cuenta de administrador, 13 cuentas de administrador de dominio y 301 cuentas de usuario de dominio a la cadena de texto “TheFr0zenCrew!”.
La denuncia penal alega que también sistematizó tareas para cambiar las contraseñas de dos cuentas de administrador local, lo que afectaría a 254 servidores, y de dos cuentas de administrador local más, lo que afectaría a 3,284 estaciones de trabajo en la red de su empleador.
Además, programó algunas tareas para apagar servidores y estaciones de trabajo al azar durante varios días en diciembre de 2023.
El caso es un ejemplo de amenaza provocada por lo que se conoce como “insider”, o persona con información privilegiada que usa su acceso autorizado para afectar intencional o accidentalmente a las organizaciones, y que según datos de Verizon son la causa de una tercera parte de los incidentes de seguridad.
Tan solo en 2023, el costo promedio total de este tipo de amenazas alcanzó los $16.2 millones de dólares (mdd), el doble que los $8.3 mdd registrados en 2018, según el Informe global sobre el costo de las amenazas internas del Ponemon Institute.
El error por el que lo descubrieron
Durante el análisis forense, los investigadores encontraron que, mientras planeaba su plan de extorsión, Rhyne supuestamente usó una máquina virtual oculta a la que accedió usando su cuenta y computadora portátil para buscar en la web el 22 de noviembre información sobre cómo eliminar cuentas de dominio, borrar registros de Windows y cambiar las contraseñas de los usuarios de dominio usando la línea de comandos.
El 15 de noviembre, Rhyne también realizó búsquedas similares en su computadora portátil, incluidas “línea de comandos para cambiar la contraseña del administrador local” y “línea de comandos para cambiar de forma remota la contraseña del administrador local”.
En la denuncia penal se lee que “al cambiar las contraseñas de administrador y usuario y apagar los servidores de Víctima-1 [como nombra al empleador], las tareas programadas fueron diseñadas colectivamente y tenían la intención de negar a Víctima-1 el acceso a sus sistemas y datos”.
El 25 de noviembre de 2023, agrega, los administradores de red empleados en Victim-1 comenzaron a recibir notificaciones de restablecimiento de contraseña para una cuenta de administrador de dominio de Victim-1, así como para cientos de cuentas de usuario de Victim-1.
Poco después, los administradores de red de la compañía descubrieron que todas las demás cuentas de administrador de dominio habían sido eliminadas, lo que les negaba el acceso a las redes informáticas.
Rhyne fue arrestado en Missouri el martes 27 de agosto y fue liberado después de su comparecencia inicial en el tribunal federal de Kansas City. Los cargos de extorsión, daño intencional a la computadora y fraude electrónico conllevan una pena máxima de 35 años de prisión y una multa de $750,000.
