남성, 갈취 음모에서 수천 대의 Windows 장치를 잠그는 행위 인정
Source: Bleeping Computer
사건 개요
전 핵심 인프라 엔지니어가 뉴저지 주 서머싯 카운티에 본사를 둔 산업 회사 직원을 대상으로 한 실패한 갈취 계획의 일환으로 Windows 관리자를 254대 서버에서 잠갔다는 혐의로 유죄를 인정했습니다.
법원 문서에 따르면, 미주리주 캔자스시티 출신 57세 다니엘 라인(Daniel Rhyne)이 11월 9일부터 11월 25일 사이에 관리자 계정을 사용해 무단으로 회사 네트워크에 원격 접속했습니다. 이 기간 동안 그는:
- 회사의 Windows 도메인 컨트롤러에 작업을 예약하여 13개의 도메인 관리자 계정과 301개의 도메인 사용자 계정의 비밀번호를
TheFr0zenCrew!로 변경하고, 네트워크 관리자 계정을 삭제했습니다. - 두 개의 로컬 관리자 계정에 대해 3,284대 워크스테이션에 영향을 주는 작업을 예약하고, 또 다른 두 개의 로컬 관리자 계정에 대해 254대 서버에 영향을 주는 작업을 예약했습니다.
- 2023년 12월 여러 날에 걸쳐 무작위 서버와 워크스테이션을 종료하는 작업을 예약했습니다.
몸값 요구
11월 25일에 라인은 동료들에게 **“Your Network Has Been Penetrated.”**라는 제목의 몸값 메일을 보냈습니다. 메일 내용은 다음과 같습니다:
- 모든 IT 관리자가 계정에서 잠겨버렸다.
- 서버 백업이 삭제되어 데이터 복구가 불가능하다.
- 회사가 20 비트코인(당시 약 750,000 달러)을 지불하지 않으면 10일 동안 매일 40대의 무작위 서버를 종료하겠다고 위협했다.
“2023년 11월 25일경, 동부 표준시 기준 오후 4시경, Victim‑1에 고용된 네트워크 관리자는 Victim‑1 도메인 관리자 계정 및 수백 개의 Victim‑1 사용자 계정에 대한 비밀번호 재설정 알림을 받기 시작했으며,” 라는 내용이 형사 고소장에 적혀 있습니다.
“그 직후, Victim‑1 네트워크 관리자는 다른 모든 Victim‑1 도메인 관리자 계정이 삭제된 것을 발견했으며, 이로 인해 Victim‑1의 컴퓨터 네트워크에 대한 도메인 관리자 접근이 차단되었습니다.”
조사
법의학 조사관은 다음을 발견했습니다:
- 11월 22일에 라인은 숨겨진 가상 머신과 자신의 계정을 사용해 Windows 로그 삭제, 도메인 사용자 비밀번호 변경, 도메인 계정 삭제 등에 관한 정보를 웹에서 검색했습니다. 이는 그의 갈취 계획의 일환이었습니다.
- 일주일 전, 그는 노트북에서 유사한 검색을 수행했으며, “원격으로 로컬 관리자 비밀번호를 변경하는 명령줄” 및 “로컬 관리자 비밀번호를 변경하는 명령줄”과 같은 쿼리를 입력했습니다.
법적 절차
라인은 8월 27일 화요일에 미주리주에서 체포되었으며, 연방 법원에서 최초 출석 후 석방되었습니다. 그는 최대 15년 징역형에 해당하는 해킹 및 갈취 혐의에 대해 유죄를 인정했습니다. 그의 유죄 진술에 대한 자세한 내용은 DOJ 발표문에서 확인할 수 있습니다: Former employee pleads guilty to crimes related to hacking.
관련 사건
- 이번 달 초, 노스캐롤라이나 데이터 분석가 계약직이 고용주인 Brightly Software(구 SchoolDude)를 250만 달러 갈취한 혐의로 유죄 판결을 받았습니다. 자세한 내용은 다음 보고서를 참고하세요: Data analyst found guilty of extorting Brightly Software of $2.5 million.