Ein alarmierender Fall von Insider-Bedrohung erschüttert die IT-Sicherheitsbranche: Ein ehemaliger Infrastruktur-Ingenieur eines Industrieunternehmens in New Jersey wurde verhaftet, nachdem er versucht hatte, seinen früheren Arbeitgeber zu erpressen. Der 57-jährige Daniel Rhyne blockierte den Zugang zu 254 Servern und forderte ein Lösegeld von 20 Bitcoin (damals ca. 750.000 US-Dollar). Ihm drohen nun bis zu 35 Jahre Haft.
Chronologie des Cyberangriffs
Am 25. November 2023 erhielten Mitarbeiter des betroffenen Unternehmens eine E-Mail mit dem Betreff „Your Network Has Been Penetrated“. Der Absender behauptete, alle IT-Administratoren hätten den Zugriff auf ihre Konten verloren und Backups seien zerstört worden. Er drohte, täglich 40 zufällige Server abzuschalten, sollte das geforderte Lösegeld nicht gezahlt werden.
Vorbereitung und Durchführung des Angriffs
Ermittlungen des FBI ergaben, dass Rhyne vom 9. bis 25. November unbefugten Fernzugriff auf die Unternehmenssysteme hatte. Er nutzte einen Domain Controller, um Passwörter für Administratoren- und Benutzerkonten zu ändern. Insgesamt waren 254 Server und 3284 Workstations betroffen. Rhyne verwendete dafür Windows Net User und das PsPasswd-Tool von Sysinternals Utilities.
Technische Details der Attacke
Die forensische Analyse deckte auf, dass Rhyne eine versteckte virtuelle Maschine nutzte, um Informationen über das Löschen von Konten, Bereinigen von Windows-Logs und Ändern von Domänenbenutzer-Passwörtern zu recherchieren. Er plante zudem Aufgaben zur zufälligen Abschaltung von Servern und Workstations im Dezember 2023.
Auswirkungen und Entdeckung
Am 25. November 2023 bemerkten Netzwerkadministratoren Benachrichtigungen über Passwort-Resets für Domain-Administratorkonten und Hunderte von Benutzerkonten. Kurz darauf stellten sie fest, dass alle anderen Domain-Administratorkonten gelöscht worden waren, was den Zugriff auf die Unternehmensnetzwerke verhinderte.
Rechtliche Konsequenzen
Rhyne wurde am 27. August festgenommen und nach einer Anhörung in Kansas City auf freien Fuß gesetzt. Er wird der Erpressung, vorsätzlichen Beschädigung von Computern und des Betrugs beschuldigt. Neben einer möglichen Haftstrafe von bis zu 35 Jahren droht ihm eine Geldstrafe von 750.000 US-Dollar.
Dieser Fall unterstreicht die Bedeutung robuster interner Sicherheitsmaßnahmen und strikter Zugriffskontrollen in Unternehmen. Regelmäßige Sicherheitsaudits, das Prinzip der geringsten Privilegien und mehrstufige Authentifizierung können dazu beitragen, ähnliche Insider-Bedrohungen zu verhindern. Unternehmen sollten ihre Cybersicherheitsstrategien kontinuierlich überprüfen und anpassen, um sich gegen solche komplexen Angriffe zu schützen.