整理 | 鄭麗媛
聽過因對前司不滿而刪庫跑路的程式設計師,聽過直接刪除備份、反過來高調勒索公司的嗎?
近日,美國一家工業企業的前員工因試圖勒索公司而被捕:據報道,這名 IT 員工利用自己對公司系統的深度瞭解,不僅刪除了公司的伺服器備份,還鎖定了所有 IT 管理員,隨後要求公司支付其價值 75 萬美元的比特幣。
結果呢?勒索未遂,並於上月被捕,現面臨最高 35 年監禁和 75 萬美元罰款的判處。
1、57 歲工程師離職後,勒索公司 75 萬美元
根據美國新澤西州地區檢察官辦公室釋出的公告,這名 IT 員工名叫 Daniel Rhyne,現年 57 歲,他曾在一家總部位於新澤西州的工業公司擔任核心基礎設施工程師,同時還兼任公司的虛擬機專家一職。
作為公司的前核心基礎設施工程師,Rhyne 擁有較高的系統許可權,並熟悉公司的網路架構。根據案件檔案顯示,他因某種不明原因對公司心懷不滿,於 2023 年 11 月 9 日在公司網路上建立了一個隱藏虛擬機器(未經授權的虛擬機器),並將使用者賬戶密碼設定為"TheFr0zenCrew!"。
從公司離職之後,Rhyne 在 2023 年 11 月 8 -25 日期間,曾多次利用這個隱藏虛擬機器,偷偷遠端訪問前司的某個管理員賬戶,未經授權地進入公司系統,並在 11 月 25 日上午利用該許可權安排了一系列破壞性任務,大體包括:
(1)用"net user"命令刪除 13 個域管理員賬戶,並將管理員賬戶的密碼更改為"TheFr0zenCrew!";
(2)用"net user"命令將 301 個域使用者賬戶的密碼更改為"TheFr0zenCrew!";
(3)用 Sysinternals 工具"PsPasswd"將影響 254 臺公司伺服器的兩個本地管理員賬戶的密碼更改為 "TheFr0zenCrew!";
(4)用 Sysinternals 工具"PsPasswd"將影響 3284 臺公司工作站的兩個本地管理員賬戶的密碼更改為 "TheFr0zenCrew!"。
根據執法部門的事後調查,以上任務都是 Rhyne 當天上午統一設定的,並定時在 2023 年 11 月 25 日下午 4:00 開始執行。於是當天下午 4:00 左右,公司的網路管理員開始收到域管理員賬戶和數百個使用者賬戶的密碼重置通知。不僅如此,他們還發現公司的所有其他域管理員賬戶也均被刪除,導致域管理員根本無法訪問公司的計算機網路。
在一片混亂中,到了下午 4:44 左右,部分員工突然收到了一封來自外部的電子郵件,標題為 "您的網路已被入侵"——沒錯,就是 Rhyne 傳送的勒索郵件。
Rhyne 在這封郵件內容明確表示:公司所有 IT 管理員的許可權“已被鎖定或刪除“,伺服器備份也“已被刪除“,如果公司不在 2023 年 12 月 2 日之前將價值 70 萬歐元的贖金以 20 個比特幣(當時價值約 75 萬美元,合約 532 萬元人民幣)的形式轉到郵件中指定的 BTC 地址,自 2023 年 12 月 3 日起,他將每天“隨機關閉 40 臺伺服器,為期 10 天“。
2、最高可能被判處 35 年監禁和 75 萬美元罰款
很顯然,不論是更改管理員和使用者密碼還是關閉公司伺服器,Rhyne 的行動都是經過精心策劃的。
他設定這些任務的目的就是為了阻止公司訪問其系統和資料,一旦計劃被全部執行,那麼這家公司的業務就很可能中斷——換句話說,Rhyne 就是透過破壞其核心業務運營,以此向公司勒索鉅額贖金。
面對這一威脅,公司立即展開調查並報警。美國檢察官 Philip R. Sellinger 表示,FBI 特別探員在密蘇里州和新澤西州的合作下,成功鎖定了 Rhyne 的犯罪證據,並透過追蹤 Rhyne 的電子郵件地址,迅速鎖定了他的身份和位置。最終,Rhyne 在 2024 年 8 月 27 日於密蘇里州被捕。
目前,Rhyne 面臨三項嚴重指控:
● 第一項是威脅破壞受保護計算機的勒索罪,最高可判處 5 年監禁,並罰款 25 萬美元;
● 第二項是故意破壞受保護的計算機,最高可判處 10 年監禁,並罰款 25 萬美元;
● 第三項則是電信欺詐,最高可判處 20 年監禁,並罰款 25 萬美元。
也就是說若三罪並罰,Rhyne 最高可能會被判處 35 年監禁和 75 萬美元的罰款。
3、來自企業內部的威脅,難以防範
事實上,Rhyne 的案例並非個例,內部威脅也一直是企業資訊安全中最難以防範的部分。
這種威脅可能是有意的,例如像 Rhyne 這樣對公司系統結構極為熟悉的技術人員;也可能是無意的,如員工疏忽導致的資訊洩露:根據 Armis 資產智慧平臺的一項研究顯示,67% 的英國員工在未經 IT 部門許可的情況下私自下載軟體,給企業網路帶來了巨大的安全隱患。
對於 Rhyne 的威脅勒索行為,IT 治理諮詢公司 GRC 部門負責人 Damian Garcia 指出,企業往往更專注於防範外部威脅,例如防禦網絡攻擊或加強外部入侵檢測,卻忽視了內部威脅帶來的潛在風險。他認為這次事件應作為警示,提醒企業必須實施健全的離職管理流程,尤其是對於具有技術能力的員工,當他們離職時應及時撤銷他們對系統的訪問許可權。
“我們希望員工能訪問他們所需的系統和資訊,方便他們完成工作。但正是這種信任和訪問許可權,一旦員工想要打擊報復,企業將面臨巨大危險。”
正如 Damian Garcia 所說,其實近幾年企業發生內部威脅的頻率和危害性在不斷上升。安全研究團隊 Trustwave 在研究金融領域的企業內部威脅情況時發現,40% 的企業在過去幾年中發生了更為頻繁的內部攻擊,其中 45% 企業在去年一年內甚至經歷了超過五次的類似事件。
此外 Trustwave 還估算,平均每次內部威脅事件給企業帶來的損失高達 500 萬美元——這一驚人數字說明內部威脅不僅僅是技術層面的問題,更會對企業財務造成巨大打擊。
針對如何降低企業內部攻擊的問題,Damian Garcia 認為企業須採取多方面的防禦策略,其中員工意識培訓是關鍵措施之一:“營造一個安全的文化氛圍至關重要,不僅僅是 IT 部門,所有員工都需要了解自己在安全環境中的角色。讓員工感到安全,願意報告例如點選釣魚連結等錯誤,以確保快速響應。”
除此之外,技術手段同樣重要。Damian Garcia 建議,企業應採取訪問管理、郵件過濾和監控工具等技術措施來減少內部攻擊的風險。他進一步補充道,分層防禦是最佳策略,只有透過多層次的防護措施,企業才能在面對無法預料的威脅時仍然能夠保持安全。
4、網友關注:為什麼這位 IT 員工會對公司不滿?
不同於安全專家看待這件事情的角度,諸多網友的關注點在於:為什麼這位 IT 員工會對公司不滿?
-
“這個人應該是被公司解僱了吧,但 HR 只會把他們統稱為離職者。”
-
“我覺得這件事的重點,應放在僱主該如何時刻警惕來自待遇差、工資低的員工的報復。”
-
“感覺最近這種事發生得越來越頻繁了,讓人不得不懷疑,是不是企業總把員工當作任勞任怨的牛馬,才迫使他們在離職時產生‘不如同歸於盡’的想法。”
另外對於 Daniel Rhyne 的勒索報復,也大致出現了兩種說法:覆盤並最佳化 Daniel Rhyne 行動計劃 or 質疑該公司的離職流程不健全。
-
“他居然用自己的電子郵件地址傳送資訊,這也太傻了,明明匿名電子郵件客戶端有很多啊。再不濟,用匿名代理或 Tor 連線到其中一個,就能確保他們無法追蹤到你了。”
-
“他是不是認為 IT 行為無法追蹤,還是他忘了還有網路安全團隊這個東西?”
-
“我估計他被裁之前,應該沒有事先通知 IT 部門。我之前所在的公司也是這樣,有個實驗室經理被裁了,但沒有同步技術部門,結果這個人回家之後就開始刪庫,等系統發出警報了公司才發現。”
最後,有一位網友的評論得到了許多人的認可:“事實證明,做這種事沒有好結果。被公司解僱固然壓力很大,但這樣一怒之下的報復,即使沒有坐牢,以後也無法繼續在這個領域工作了。”
參考連結:
https://www.justice.gov/usao-nj/media/1365476/dl?inline
https://www.itpro.com/security/why-you-should-always-be-wary-of-insider-threats-a-disgruntled-employee-at-a-us-industrial-firm-deleted-backups-and-locked-it-admins-out-of-workstations-in-a-failed-data-extortion-attempt
https://www.reddit.com/r/technology/comments/1fdrzqa/a_disgruntled_employee_deleted_backups_and_locked/
本文轉自公眾號“CSDN”,ID:CSDNnews
—END—