15/11/2024

Actu Cybersécurité

Un homme a bloqué l’accès à 254 serveurs pour extorquer des fonds à son ancien employeur

Un homme de 57 ans a été arrêté après avoir tenté d'extorquer des fonds à son ancien employeur, une industrie située dans le New Jersey aux États-Unis.

Le 25 novembre, en fin de journée, les employés d'une industrie située dans le Comté de Somerset, dans le New Jersey, ont reçu par e-mail une demande de rançon intitulée "Your Network Has Been Penetrated" (Votre réseau a été pénétré). Ce message était accompagné par plusieurs informations inquiétantes :

  • Les sauvegardes ont été supprimées
  • Tous les comptes administrateurs ont été désactivés
  • 40 serveurs seront arrêtés de façon aléatoire sur l'infrastructure de l'entreprise, dans les 10 prochains jours, à moins qu'une rançon de 700 000 euros ne soit versée (sous la forme de 20 bitcoins).

Une enquête menée par le FBI a permis d'identifier l'auteur de cette tentative de cyberattaque. Il s'agit de Daniel Rhyne, un homme de 57 ans originaire de Kansas City qui travaillait comme ingénieur infrastructure dans cette entreprise. Il s'avère qu'il a accédé à distance au système d'information de l'entreprise, avec un compte administrateur, sans en avoir l'autorisation, entre le 9 et le 25 novembre.

Des tâches planifiées pour modifier les mots de passe admin

Il ne s'est pas connecté pour rien puisqu'il a créé des tâches planifiées sur le domaine afin de saboter le système d'information. Ces tâches avaient pour objectif de changer les mots de passe de 13 comptes d'administrateur du domaine et de 301 comptes d'utilisateur, pour les remplacer par le mot de passe "TheFr0zenCrew!".

Ce n'est pas tout, puisqu'il a aussi planifié des tâches pour changer le mot de passe de 2 comptes administrateurs locaux, de quoi impacter 254 serveurs. Il a fait la même chose avec les administrateurs locaux des ordinateurs, de quoi affecter 3 284 postes de travail de l'entreprise.

Ce qui l'a mis en défaut, au-delà des différentes connexions à distance non autorisées, c'est l'historique de navigation web d'une machine virtuelle qu'il a utilisé pour préparer son plan. En effet, il a effectué différentes recherches pour savoir comment utiliser la "ligne de commande pour modifier à distance le mot de passe de l'administrateur local" et nettoyer les journaux de Windows.

Daniel Rhyne a été arrêté le 27 août 2024 et il a été présenté devant le tribunal fédéral de Kansas City, avant d'être libéré, pour le moment. Aux États-Unis, il risque une peine maximale de 35 ans de prison et une amende de 750 000 dollars.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.