【安全资讯】前工程师承认锁定数千台Windows设备以实施勒索计划

概要：

近日，一起涉及内部人员的严重网络安全事件引发关注。一名前核心基础设施工程师承认，通过未经授权访问并锁定其雇主数千台Windows设备，企图实施勒索。此事件不仅暴露了企业内部权限管理的脆弱性，也凸显了内部威胁可能造成的巨大业务中断风险。

主要内容：

根据法庭文件，57岁的Daniel Rhyne在2023年11月期间，利用管理员账户未经授权远程访问了其雇主——一家位于新泽西州的工业公司的网络。他通过在公司Windows域控制器上计划任务，删除了网络管理员账户，并将13个域管理员账户和301个域用户账户的密码更改为特定字符串，从而锁定了管理权限。

Rhyne的技术手段包括使用命令行工具远程更改本地管理员密码，并计划任务以影响超过3,284台工作站和254台服务器。他还计划在2023年12月随机关闭网络中的服务器和工作站，以加剧混乱。调查发现，他在实施攻击前曾使用隐藏的虚拟机搜索如何清除Windows日志、更改密码和删除账户。

在完成锁定操作后，Rhyne向同事发送了名为“您的网络已被渗透”的勒索邮件，声称已删除服务器备份，使数据恢复无法实现，并要求公司支付价值约75万美元的20个比特币作为赎金，否则将在十天内每天随机关闭40台服务器。

此次事件导致该公司IT管理员被全面锁在系统之外，造成了严重的业务中断。Rhyne已对黑客和勒索指控认罪，最高将面临15年监禁。此案再次警示企业需加强内部访问控制和行为监控，以防范来自内部的恶意威胁。