主要观点总结
本文报道了一起美国全国性工业企业遭受内部员工报复的事件。核心基础设施工程师Daniel Rhyne试图向企业勒索比特币,并在网络上实施恶意活动,导致公司计算机网络受到严重破坏。包括删除域管理员账户、更改密码、创建计划任务阻止公司访问系统和数据等。该事件引起了网友对企业文化、员工心态和内部威胁的关注。文章还引用了IT Governance治理、风险与合规管理主管Damian Garcia和Trustwave的内部研究来说明内部威胁的严重性。
关键观点总结
关键观点1: 事件概述
美国一家全国性工业企业遭某心怀不满的IT员工Daniel Rhyne报复,他在网络上实施恶意活动,导致公司计算机网络受到严重破坏。
关键观点2: 勒索软件行为
勒索软件向公司员工发出警告,称IT管理员账户被锁定或删除,要求支付比特币以恢复系统。
关键观点3: 恶意活动细节
Rhyne在公司的域控制器上创建了多项计划任务,包括删除域管理员账户、更改用户密码、关闭服务器和工作站等。这些任务旨在阻止公司正常访问其系统和数据。
关键观点4: 内部威胁的重要性
事件引起了对企业文化、员工心态和内部威胁的关注。IT Governance治理主管Damian Garcia和Trustwave的内部研究强调了内部威胁的严重性,建议企业实施强有力离职流程、开展员工安全意识培训等措施来减少风险。
正文
8:12 左右起,Rhyne 控制管理员账户开始在其域控制器上创建约 16 项未经授权的“计划任务”,其中 6 项“计划任务”配置为在 2023 年 11 月 25 日下午 4:00 这一特定时间点执行,其余计划任务则为从 2023 年 12 月 3 日开始的几天内,对受害者的数十台计算机服务器执行关停。如果这些计划任务实际执行,则受害者将无法访问其系统和数据,很可能导致其业务运营中断。
该远程桌面会话源自公司网络上某未经授权的卡片机(以下简称“隐藏虚拟机”)。从 2023 年 11 月 10 日到 2023 年 11 月 25 日左右,该隐藏虚拟机曾多次被用于访问受害者域控制器上的管理员账户。此外,该隐藏虚拟机也是该时段内唯一通过远程桌面会话访问受害者域控制器上管理员账户的系统。
据调查,该隐藏虚拟机于 2023 年 11 月 9 日创建完成,当时隐藏虚拟机的用户账户密码为“TheFr0zenCrew!”。此密码与受害者管理员账户以及 301 个域用户账户被重置后的密码内容相同。
在此时段,公司的安全摄像头和物理访问日志还记录到,Rhyne 曾亲自进入受害者总部。Rhyne 在抵达公司总部后,很快就使用 Rhyne 账户登录了 Rhyne 电脑,并曾多次使用该账户访问隐藏虚拟机。当 Rhyne 不在受害者总部时,Rhyne 电脑的使用者会通过分配给 Rhyne 位于新泽西州沃伦县住所的互联网协议(IP)地址远程访问受害者的计算机网络,包括隐藏虚拟机。
当局随后成功将勒索信息追溯到了 Rhyne 控制的电子邮件地址,并于 2024 年 8 月 27 日在密苏里州将其逮捕。Rhyne 被指控犯有一项设施勒索罪、一项故意损坏受保护计算机罪和一项电信欺诈罪,目前面临共计最高 35 年的监禁和 75 万美元的罚款。值得注意的是,Rhyne 今年已经 57 岁了。
“快乐的员工可能不会做这种事”
这件事在 Reddit 上被网友热议,核心在企业与员工上。
“感觉这类事情现在发生得越来越频繁了。我绝不是纵容这种行为,但不得不怀疑,这是否是公司对待员工的‘副产品’,让少数人在即将离职时充满了这种‘我不在乎’的心态。”有网友评价道。
事实上,前不久,39 岁在新加坡工作的印度人 Kandula Nagaraju 因被解雇而感到“困惑和沮丧”,因为他认为自己在工作期间表现良好,并为公司“做出了良好贡献”。于是,他进入前公司的计算机测试系统并删除了 180 台虚拟服务器,给公司造成损失约 678,000 美元。最后,他因一项未经授权访问计算机资料的指控被判处两年零八个月监禁,另一项指控正在量刑。
