本文经授权转自公众号CSDN(ID:CSDNnews)
听过因对前司不满而删库跑路的程序员,听过直接删除备份、反过来高调勒索公司的吗?
近日,美国一家工业企业的前员工因试图勒索公司而被捕:据报道,这名 IT 员工利用自己对公司系统的深度了解,不仅删除了公司的服务器备份,还锁定了所有 IT 管理员,随后要求公司支付其价值 75 万美元的比特币。
结果呢?勒索未遂,并于上月被捕,现面临最高 35 年监禁和 75 万美元罚款的判处。
1、57 岁工程师离职后,勒索公司 75 万美元
根据美国新泽西州地区检察官办公室发布的公告,这名 IT 员工名叫 Daniel Rhyne,现年 57 岁,他曾在一家总部位于新泽西州的工业公司担任核心基础设施工程师,同时还兼任公司的虚拟机专家一职。
作为公司的前核心基础设施工程师,Rhyne 拥有较高的系统权限,并熟悉公司的网络架构。根据案件文件显示,他因某种不明原因对公司心怀不满,于 2023 年 11 月 9 日在公司网络上创建了一个隐藏虚拟机(未经授权的虚拟机),并将用户账户密码设置为"TheFr0zenCrew!"。
从公司离职之后,Rhyne 在 2023 年 11 月 8 -25 日期间,曾多次利用这个隐藏虚拟机,偷偷远程访问前司的某个管理员账户,未经授权地进入公司系统,并在 11 月 25 日上午利用该权限安排了一系列破坏性任务,大体包括:
(1)用"net user"命令删除 13 个域管理员账户,并将管理员账户的密码更改为"TheFr0zenCrew!";
(2)用"net user"命令将 301 个域用户账户的密码更改为"TheFr0zenCrew!";
(3)用 Sysinternals 工具"PsPasswd"将影响 254 台公司服务器的两个本地管理员账户的密码更改为 "TheFr0zenCrew!";
(4)用 Sysinternals 工具"PsPasswd"将影响 3284 台公司工作站的两个本地管理员账户的密码更改为 "TheFr0zenCrew!"。
根据执法部门的事后调查,以上任务都是 Rhyne 当天上午统一设置的,并定时在 2023 年 11 月 25 日下午 4:00 开始执行。于是当天下午 4:00 左右,公司的网络管理员开始收到域管理员账户和数百个用户账户的密码重置通知。不仅如此,他们还发现公司的所有其他域管理员账户也均被删除,导致域管理员根本无法访问公司的计算机网络。
在一片混乱中,到了下午 4:44 左右,部分员工突然收到了一封来自外部的电子邮件,标题为 "您的网络已被入侵"——没错,就是 Rhyne 发送的勒索邮件。
Rhyne 在这封邮件内容明确表示:公司所有 IT 管理员的权限“已被锁定或删除“,服务器备份也“已被删除“,如果公司不在 2023 年 12 月 2 日之前将价值 70 万欧元的赎金以 20 个比特币(当时价值约 75 万美元,合约 532 万元人民币)的形式转到邮件中指定的 BTC 地址,自 2023 年 12 月 3 日起,他将每天“随机关闭 40 台服务器,为期 10 天“。
2、最高可能被判处 35 年监禁和 75 万美元罚款
很显然,不论是更改管理员和用户密码还是关闭公司服务器,Rhyne 的行动都是经过精心策划的。
他设置这些任务的目的就是为了阻止公司访问其系统和数据,一旦计划被全部执行,那么这家公司的业务就很可能中断——换句话说,Rhyne 就是通过破坏其核心业务运营,以此向公司勒索巨额赎金。
面对这一威胁,公司立即展开调查并报警。美国检察官 Philip R. Sellinger 表示,FBI 特别探员在密苏里州和新泽西州的合作下,成功锁定了 Rhyne 的犯罪证据,并通过追踪 Rhyne 的电子邮件地址,迅速锁定了他的身份和位置。最终,Rhyne 在 2024 年 8 月 27 日于密苏里州被捕。
目前,Rhyne 面临三项严重指控:
● 第一项是威胁破坏受保护计算机的勒索罪,最高可判处 5 年监禁,并罚款 25 万美元;
● 第二项是故意破坏受保护的计算机,最高可判处 10 年监禁,并罚款 25 万美元;
● 第三项则是电信欺诈,最高可判处 20 年监禁,并罚款 25 万美元。
也就是说若三罪并罚,Rhyne 最高可能会被判处 35 年监禁和 75 万美元的罚款。
3、来自企业内部的威胁,难以防范
事实上,Rhyne 的案例并非个例,内部威胁也一直是企业信息安全中最难以防范的部分。
这种威胁可能是有意的,例如像 Rhyne 这样对公司系统结构极为熟悉的技术人员;也可能是无意的,如员工疏忽导致的信息泄露:根据 Armis 资产智能平台的一项研究显示,67% 的英国员工在未经 IT 部门许可的情况下私自下载软件,给企业网络带来了巨大的安全隐患。
对于 Rhyne 的威胁勒索行为,IT 治理咨询公司 GRC 部门负责人 Damian Garcia 指出,企业往往更专注于防范外部威胁,例如防御网络攻击或加强外部入侵检测,却忽视了内部威胁带来的潜在风险。他认为这次事件应作为警示,提醒企业必须实施健全的离职管理流程,尤其是对于具有技术能力的员工,当他们离职时应及时撤销他们对系统的访问权限。
“我们希望员工能访问他们所需的系统和信息,方便他们完成工作。但正是这种信任和访问权限,一旦员工想要打击报复,企业将面临巨大危险。”
正如 Damian Garcia 所说,其实近几年企业发生内部威胁的频率和危害性在不断上升。安全研究团队 Trustwave 在研究金融领域的企业内部威胁情况时发现,40% 的企业在过去几年中发生了更为频繁的内部攻击,其中 45% 企业在去年一年内甚至经历了超过五次的类似事件。
此外 Trustwave 还估算,平均每次内部威胁事件给企业带来的损失高达 500 万美元——这一惊人数字说明内部威胁不仅仅是技术层面的问题,更会对企业财务造成巨大打击。
针对如何降低企业内部攻击的问题,Damian Garcia 认为企业须采取多方面的防御策略,其中员工意识培训是关键措施之一:“营造一个安全的文化氛围至关重要,不仅仅是 IT 部门,所有员工都需要了解自己在安全环境中的角色。让员工感到安全,愿意报告例如点击钓鱼链接等错误,以确保快速响应。”
除此之外,技术手段同样重要。Damian Garcia 建议,企业应采取访问管理、邮件过滤和监控工具等技术措施来减少内部攻击的风险。他进一步补充道,分层防御是最佳策略,只有通过多层次的防护措施,企业才能在面对无法预料的威胁时仍然能够保持安全。
4、网友关注:为什么这位 IT 员工会对公司不满?
不同于安全专家看待这件事情的角度,诸多网友的关注点在于:为什么这位 IT 员工会对公司不满?
“这个人应该是被公司解雇了吧,但 HR 只会把他们统称为离职者。”
“我觉得这件事的重点,应放在雇主该如何时刻警惕来自待遇差、工资低的员工的报复。”
“感觉最近这种事发生得越来越频繁了,让人不得不怀疑,是不是企业总把员工当作任劳任怨的牛马,才迫使他们在离职时产生‘不如同归于尽’的想法。”
另外对于 Daniel Rhyne 的勒索报复,也大致出现了两种说法:复盘并优化 Daniel Rhyne 行动计划 or 质疑该公司的离职流程不健全。
“他居然用自己的电子邮件地址发送信息,这也太傻了,明明匿名电子邮件客户端有很多啊。再不济,用匿名代理或 Tor 连接到其中一个,就能确保他们无法追踪到你了。”
“他是不是认为 IT 行为无法追踪,还是他忘了还有网络安全团队这个东西?”
“我估计他被裁之前,应该没有事先通知 IT 部门。我之前所在的公司也是这样,有个实验室经理被裁了,但没有同步技术部门,结果这个人回家之后就开始删库,等系统发出警报了公司才发现。”
最后,有一位网友的评论得到了许多人的认可:“事实证明,做这种事没有好结果。被公司解雇固然压力很大,但这样一怒之下的报复,即使没有坐牢,以后也无法继续在这个领域工作了。”
参考链接:
https://www.justice.gov/usao-nj/media/1365476/dl?inline
https://www.itpro.com/security/why-you-should-always-be-wary-of-insider-threats-a-disgruntled-employee-at-a-us-industrial-firm-deleted-backups-and-locked-it-admins-out-of-workstations-in-a-failed-data-extortion-attempt
https://www.reddit.com/r/technology/comments/1fdrzqa/a_disgruntled_employee_deleted_backups_and_locked/
本文转自公众号“CSDN”,ID:CSDNnews
---END---