主要观点总结
本文讲述了一起美国全国性工业企业的网络事件,核心基础设施工程师Daniel Rhyne因不满公司待遇而发起勒索软件攻击,导致公司计算机网络受到严重影响。他试图通过创建计划任务来阻止公司正常访问系统和数据,并删除了备份数据。事件引发了关于企业文化和员工心态的广泛讨论。同时,该事件也提醒了企业需要关注内部威胁,加强离职流程管理和员工安全意识培训。
关键观点总结
关键观点1: 事件背景及经过
美国一家全国性工业企业遭到心怀不满的IT员工Daniel Rhyne报复。他试图勒索比特币并重置公司域管理员账户密码,导致网络管理员无法访问计算机网络。随后发出勒索电子邮件,警告如不支付赎金将关闭服务器。执法部门确认存在恶意活动,包括删除域管理员账户、更改用户密码等。
关键观点2: 攻击者的行为
Rhyne通过远程桌面会话访问受害者域控制器,创建计划任务以阻止公司访问系统和数据。他还多次使用隐藏虚拟机访问受害者域控制器上的管理员账户。当局成功追溯勒索信息至Rhyne控制的电子邮件地址,并于2024年8月逮捕他。
关键观点3: 事件的影响与讨论
事件引发网友热议,有网友认为这反映了企业文化对员工思维的影响,也有网友提到被解雇员工的心理。该事件提醒企业需关注“内鬼”安全,实施强有力离职流程以防止内部人士恶意攻击。
关键观点4: 企业内部威胁的风险与管理
企业面临内部威胁的严重风险。专家建议开展员工安全意识培训,改善整体安全文化,实施多种技术措施来缓解内部威胁。组织需建立安全意识文化,让员工了解自己在安全领域的角色和作用。
正文
在 2023 年 11 月 25 日上午 7:48 左右,该公司管理员账户曾遭 7 次未授权访问,Rhyne 由远程桌面会话发起了该访问,从上午 7:48 持续至上午 9:45 左右。这期间,Rhyne 创建了自己的“计划任务”。
8:12 左右起,Rhyne 控制管理员账户开始在其域控制器上创建约 16 项未经授权的“计划任务”,其中 6 项“计划任务”配置为在 2023 年 11 月 25 日下午 4:00 这一特定时间点执行,其余计划任务则为从 2023 年 12 月 3 日开始的几天内,对受害者的数十台计算机服务器执行关停。如果这些计划任务实际执行,则受害者将无法访问其系统和数据,很可能导致其业务运营中断。
该远程桌面会话源自公司网络上某未经授权的卡片机(以下简称“隐藏虚拟机”)。从 2023 年 11 月 10 日到 2023 年 11 月 25 日左右,该隐藏虚拟机曾多次被用于访问受害者域控制器上的管理员账户。此外,该隐藏虚拟机也是该时段内唯一通过远程桌面会话访问受害者域控制器上管理员账户的系统。
据调查,该隐藏虚拟机于 2023 年 11 月 9 日创建完成,当时隐藏虚拟机的用户账户密码为“TheFr0zenCrew!”。此密码与受害者管理员账户以及 301 个域用户账户被重置后的密码内容相同。
在此时段,公司的安全摄像头和物理访问日志还记录到,Rhyne 曾亲自进入受害者总部。Rhyne 在抵达公司总部后,很快就使用 Rhyne 账户登录了 Rhyne 电脑,并曾多次使用该账户访问隐藏虚拟机。当 Rhyne 不在受害者总部时,Rhyne 电脑的使用者会通过分配给 Rhyne 位于新泽西州沃伦县住所的互联网协议(IP)地址远程访问受害者的计算机网络,包括隐藏虚拟机。
当局随后成功将勒索信息追溯到了 Rhyne 控制的电子邮件地址,并于 2024 年 8 月 27 日在密苏里州将其逮捕。Rhyne 被指控犯有一项设施勒索罪、一项故意损坏受保护计算机罪和一项电信欺诈罪,目前面临共计最高 35 年的监禁和 75 万美元的罚款。值得注意的是,Rhyne 今年已经 57 岁了。
这件事在 Reddit 上被网友热议,核心在企业与员工上。
