A Guerra dos Tronos – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Um antigo engenheiro de TI está enfrentando acusações federais nos Estados Unidos após seu antigo empregador descobrir que havia sido bloqueado de seus sistemas de computador e recebeu uma demanda de $750.000.

Por volta das 16h EST em 25 de novembro de 2023, os funcionários de uma empresa industrial com sede no Condado de Somerset, Nova Jersey, começaram a receber notificações de redefinição de senha. Pouco depois, os administradores de rede descobriram que contas de administrador de domínio haviam sido excluídas, negando assim o acesso aos sistemas de computador da empresa.

44 minutos depois, os funcionários receberam um e-mail de extorsão de um endereço externo com a linha de assunto “Sua Rede foi Penetrada”.

O e-mail alertava a empresa que todos os seus administradores haviam sido bloqueados ou excluídos da rede, que os backups da empresa haviam sido deletados, e que mais 40 servidores seriam desligados a cada dia se um resgate de 20 Bitcoins (aproximadamente US $750.000) não fosse pago.

Daniel Rhyne, de 57 anos, de Kansas City, Missouri, que trabalhou como engenheiro de infraestrutura principal na empresa foi acusado de acesso não autorizado aos sistemas de computador, explorando uma conta de administrador da empresa para executar comandos maliciosos entre 8 e 25 de novembro de 2023 que:

– Alteraram senhas de administrador para “TheFr0zenCrew!”
– Excluíram contas de administrador
– Alteraram senhas de contas de usuário para “TheFr0zenCrew!”
– Agendaram o desligamento de vários servidores e estações de trabalho.

Investigadores afirmam ter conseguido rastrear o ataque até uma sessão de desktop remoto que havia se originado em uma máquina virtual não autorizada (VM) rodando na rede da empresa. A mesma VM também foi encontrada realizando uma série de buscas na web incriminatórias antes do ataque, incluindo:

– “Como definir a senha do usuário de domínio pela linha de comando”
– “como excluir uma conta de domínio da linha de comando”
– “como desligar remotamente um computador usando cmd”
– “como limpar todos os logs do Windows pela linha de comando”
– “sintaxe do usuário da rede alterar senha”

Segundo documentos judiciais, a VM foi acessada por uma conta de usuário e laptop atribuído a Rhyne. O laptop de Rhyne teria interrompido toda navegação na internet quando a navegação na internet estava ocorrendo na VM, sugerindo que a mesma pessoa estava usando tanto a VM quanto o laptop de Rhyne.

Os promotores também afirmam que as imagens das câmeras de segurança e registros de acesso físico da empresa mostram quando Rhyne entrou fisicamente na sede da empresa. Esses registros precedem imediatamente o login da conta de usuário de Rhyne em seu laptop e, em muitas instâncias, acessando então a VM.

As acusações contra Rhyne incluem extorsão, dano intencional a computadores protegidos e fraude eletrônica. Se considerado culpado, ele enfrenta uma potencial sentença máxima de prisão de 20 anos e multas de até $750.000.

Você também pode gostar

Um Dia na Vida de Um Assistente Virtual

Plataformas de Proteção de Aplicações Nativas de Nuvem (CNAPPs) Evitam Segurança em Silos e Incorporam Segurança desde as Primeiras Etapas do Desenvolvimento de Aplicações

Foxit Leitor PDF Vulnerabilidade Explotada por Hackers para Distribuir Diversos Malwares Arsenal