写点什么

又“刑”了!搞瘫公司三千多工作电脑,不给 500 万就删 IT 账户,网友:快乐的员工谁干这事儿啊

  • 2024-09-11
    北京
  • 本文字数:3509 字

    阅读完需:约 12 分钟

大小:1.63M时长:09:30
又“刑”了!搞瘫公司三千多工作电脑,不给 500 万就删 IT 账户,网友:快乐的员工谁干这事儿啊

美国一家全国性工业企业遭某心怀不满的 IT 员工报复。Daniel Rhyne 是这家企业的核心基础设施工程师,他曾试图向所在公司勒索价值 75 万美元(约 530 万人民币)的比特币。


2023 年 11 月 25 日,该公司的网络管理员收到通知,提示其域管理员账户以及数百个用户账户的密码遭到重置。此后不久,网络管理员发现其他域管理员账户均已被删除,导致各域管理员无法正常访问计算机网络。大约 44 分钟后,该公司的部分员工收到一封来自外部勒索电子邮件地址,标题为“你的网络已遭入侵”。


勒索软件向收件人发出警告称:该公司的所有“IT 管理员账户均已被锁定或删除”,因此公司计算机网络无法登录;公司的所有“备份均已被删除”;如果未在 2023 年 12 月 2 日之前将 70 万欧元的赎金以 20 比特币的形式汇入勒索邮件中指定的 BTC 地址,则每天将另外“随机关闭 40 台服务器,为期 10 天”。按 2023 年 11 月 25 日当天的价格计算,20 个比特币的价值约为 75 万美元。


执法部门根据调查,确认从 2023 年 11 月 8 日左右到 11 月 25 日左右,这家公司的计算机网络上确实发生了恶意活动。公司域控制器上存在了多项计划任务,具体包括:删除公司的 13 个域管理员账户、更改受害者共 301 个域用户账户的密码、更改受害者两个本地管理员账户的密码,具体影响到 254 台服务器;更改公司另外两个本地管理员账户的密码,影响到了 3284 台工作站;在 2023 年 12 月的数日之内,关闭了受害者多台服务器和工作站。


这些计划任务为统一设置,目的是阻止公司正常访问其系统和数据。


在 2023 年 11 月 25 日上午 7:48 左右,该公司管理员账户曾遭 7 次未授权访问,Rhyne 由远程桌面会话发起了该访问,从上午 7:48 持续至上午 9:45 左右。这期间,Rhyne 创建了自己的“计划任务”。


8:12 左右起,Rhyne 控制管理员账户开始在其域控制器上创建约 16 项未经授权的“计划任务”,其中 6 项“计划任务”配置为在 2023 年 11 月 25 日下午 4:00 这一特定时间点执行,其余计划任务则为从 2023 年 12 月 3 日开始的几天内,对受害者的数十台计算机服务器执行关停。如果这些计划任务实际执行,则受害者将无法访问其系统和数据,很可能导致其业务运营中断。


该远程桌面会话源自公司网络上某未经授权的卡片机(以下简称“隐藏虚拟机”)。从 2023 年 11 月 10 日到 2023 年 11 月 25 日左右,该隐藏虚拟机曾多次被用于访问受害者域控制器上的管理员账户。此外,该隐藏虚拟机也是该时段内唯一通过远程桌面会话访问受害者域控制器上管理员账户的系统。


据调查,该隐藏虚拟机于 2023 年 11 月 9 日创建完成,当时隐藏虚拟机的用户账户密码为“TheFr0zenCrew!”。此密码与受害者管理员账户以及 301 个域用户账户被重置后的密码内容相同。


在此时段,公司的安全摄像头和物理访问日志还记录到,Rhyne 曾亲自进入受害者总部。Rhyne 在抵达公司总部后,很快就使用 Rhyne 账户登录了 Rhyne 电脑,并曾多次使用该账户访问隐藏虚拟机。当 Rhyne 不在受害者总部时,Rhyne 电脑的使用者会通过分配给 Rhyne 位于新泽西州沃伦县住所的互联网协议(IP)地址远程访问受害者的计算机网络,包括隐藏虚拟机。


当局随后成功将勒索信息追溯到了 Rhyne 控制的电子邮件地址,并于 2024 年 8 月 27 日在密苏里州将其逮捕。Rhyne 被指控犯有一项设施勒索罪、一项故意损坏受保护计算机罪和一项电信欺诈罪,目前面临共计最高 35 年的监禁和 75 万美元的罚款。值得注意的是,Rhyne 今年已经 57 岁了。


“快乐的员工可能不会做这种事”


这件事在 Reddit 上被网友热议,核心在企业与员工上。


“感觉这类事情现在发生得越来越频繁了。我绝不是纵容这种行为,但不得不怀疑,这是否是公司对待员工的‘副产品’,让少数人在即将离职时充满了这种‘我不在乎’的心态。”有网友评价道。


事实上,前不久,39 岁在新加坡工作的印度人 Kandula Nagaraju 因被解雇而感到“困惑和沮丧”,因为他认为自己在工作期间表现良好,并为公司“做出了良好贡献”。于是,他进入前公司的计算机测试系统并删除了 180 台虚拟服务器,给公司造成损失约 678,000 美元。最后,他因一项未经授权访问计算机资料的指控被判处两年零八个月监禁,另一项指控正在量刑。


“在一家公司工作多年,与黑客和垃圾邮件发送者抗争,日夜工作。修补 100 台机器、升级和维护新用户等。然后,无缘无故被解雇。我完全可以理解在一家公司欺骗了你和你认识的在那里工作的每个人之后,你对这家公司的态度。”网友 Noct 表示。


有网友分享了自己的身边的真实案例。“在我工作的一家初创公司,也发生过类似的事情,只是规模比较小。我们有一个和蔼可亲但完全不称职的 IT 经理,他最终被解雇了。他离开后,我们发现他创建了一家与我们公司名称相似的假公司,并将供应商支票寄到了这个公司。他还创建了与供应商名称相似的假公司,因此他可以从两方榨取利润。他还负责我们的网站,并以自己的名义注册了网站,被解雇的那天,他又重定向到了我们最大的竞争对手。”


有网友认为,这在一定程度上反映了企业文化对人们思维的影响。“你不需要懂心理学就可以知道,更快乐的员工可能不会做出这种事情。”


当然,也有网友提出,有的员工即使没有那么多怨恨,也可能会做同样的事情,即使他们曾经受到良好的待遇,并且因为正当理由而被解雇。


还有网友对做出这种行为的人表示惋惜。“真是愚蠢!我知道你对工作、老板或生活不满意,但不要对别人那么粗鲁,优雅体面地处理你的问题,然后另谋出路。”“被解雇是一件很艰难、很有压力的事情,但为此无法再在自己的领域工作是不值得的。”


“内鬼”安全该被关注?


IT Governance 治理、风险与合规管理(GRC)主管 Damian Garcia 在接受媒体采访时表示,该事件应当成为企业实施强有力离职流程、以防止内部人士恶意攻击的典型案例。


“这家公司所经历的情况,正是那些缺乏强有力离职流程的企业所面临的典型威胁——当员工因违纪等理由被迫离开组织时,特别是包括系统管理员在内的拥有较强技术能力的员工,必须及时撤销其对系统的访问权限。”


Garcia 还提到,内部威胁对于组织来说已经构成严重风险。他指出,这类威胁常常遭到忽视,因为人们更倾向于抵御受到更多关注的外部威胁。


“内部威胁对于组织来说已经构成极其严重的风险。从历史上看,企业往往会忽视这一点,宁愿把精力集中在外部威胁行为者身上(比如那种身着连帽衫、把面部遮挡起来的刻板网络犯罪分子形象)。然而,企业应当意识到内部威胁已经成为更大的问题,同样是需要认真对待的风险因素。”他解释道。


“根据具体工作性质,我们需要保证员工能够访问系统以获取必要的信息,借此履行他们受雇承担的职责。也正是由于这种系统访问权限以及我们需要绝对信任员工这一事实,才导致组织面临严峻风险,毕竟没人能保证这些员工永远规规矩矩。”


Trustwave 在其针对金融行业的内部研究研究中发现,与前几年相比,如今 40% 的企业报告称内部威胁攻击频率有所增加,近半数(45%)的企业承认过去一年间曾经历五次以上的此类攻击。


Trustwave 计算出,内部威胁事件造成的平均损失为 500 万美元,凸显出此类攻击可能造成的重大财务影响。


当然,并非所有内部威胁都出于恶意,员工的疏忽大意也可能对所在组织造成风险。攻击面管理专业服务商 Armis 的研究表明,67% 的英国员工会在未经 IT 部门或者安全团队许可的情况下下载软件,进而对业务环境造成威胁。


为了最大限度减少企业承受的内部威胁风险(无论出于恶意还是无意),Garcia 都建议企业开展员工安全意识培训,借此改善整体安全文化,具体措施包括营造一种支持性的办公环境,让员工更坦然地上报自己可能犯下的任何错误。


“应对内部威胁最有效的方法,就是组织员工安全意识培训——缺少了这关键的一环,数据泄漏将不可避免。必须建立起一种安全意识文化,让每个人(而不仅仅是 IT 部门)了解到自己在安全领域扮演的角色和发挥的作用。员工应当可以更坦然地上报无心之失,比如意外点击了钓鱼链接,以确保问题能够快速得到响应。”Garcia 表示。


此外,Garcia 认为,组织也可以实施多种技术措施来缓解内部威胁,包括部署电子邮件过滤器和监控工具。“我们永远无法预测下一个威胁来自哪里,因此多重保护体系才是保障组织安全的关键所在。”


参考链接


https://www.justice.gov/usao-nj/media/1365476/dl?inline


https://www.itpro.com/security/why-you-should-always-be-wary-of-insider-threats-a-disgruntled-employee-at-a-us-industrial-firm-deleted-backups-and-locked-it-admins-out-of-workstations-in-a-failed-data-extortion-attempt


https://www.channelnewsasia.com/singapore/former-employee-hack-ncs-delete-virtual-servers-quality-testing-4402141


2024-09-11 18:4110522

评论

发布
暂无评论
发现更多内容

CSS中的各种格式化上下文-FC(BFC、IFC、GFC、FFC)

肥晨

css3 三周年连更

企业内部培训网站为例,探索云上成本优化

华为云开发者联盟

云计算 后端 华为云 华为云开发者联盟 企业号 4 月 PK 榜

防止网页防篡改,华为云网站安全方案省心又省力

爱尚科技

研发运维双管齐下!Seal AppManager的正确打开方式

SEAL安全

企业号 4 月 PK 榜 Seal软件 SealAppManager

MatrixOne logservice 原理解析

MatrixOrigin

分布式数据库 MatrixOrigin MatrixOne Log Service

保护企业网站安全,华为云网站安全解决方案有绝招

秃头也爱科技

新一代异步IO框架 io_uring | 得物技术

得物技术

对话 BitSail Contributor | 刘啸:参与开源,提升自我技术力

字节跳动数据平台

大数据 开源 数据集成 数据集成平台 数据引擎

护航信息安全,就看华为云网站安全方案

爱尚科技

“930大促”日活增速超40% ,哈啰如何用预案高效应急?

TakinTalks稳定性社区

被称为大数据分析工具的瓴羊Quick BI,与传统数据分析工具有何不同?

流量猫猫头

这些央国企在数智化转型时为何选择用友?

用友BIP

技术大会 用友iuap 用友技术大会

​华为云网站安全解决方案,多重防御保护企业数据安全

IT科技苏辞

升级企业数智化底座,加速推进国产替代

用友BIP

技术大会 用友BIP 升级企业数智化底座

BNB代币燃烧模式dapp系统开发合约详情

开发v-hkkf5566

摄影师必备图像编辑工具:Capture One Pro 23中文版

真大的脸盆

Mac Mac 软件 图像编辑 图像编辑工具 图像处理软件

消息服务MNS之初见

六月的雨在InfoQ

Java 云产品 MNS 三周年连更 消息服务

众多企业的共同选择,华为云网站安全解决方案有哪些优势?

秃头也爱科技

落地“旅游+”数字赋能:实现智慧旅游协同创新发展

加入高科技仿生人

低代码 数字化 旅游业 数字转型

Wallys/IPQ5018 and QCN6122: The Future of Wireless Networking

Cindy-wallys

ipq5018 QCN6102 QCN6122

使用CodeArts发布OBS,函数工作流刷新CDN缓存

华为云开发者联盟

云计算 后端 华为云 华为云开发者联盟 企业号 4 月 PK 榜

看数据如何驱动业务增长,来用友BIP技术大会探索数据智能的力量

用友BIP

数据智能 技术大会 用友iuap 用友技术大会

九科信息RPA产品bit-Worker通过信创产品评估

九科Ninetech

从网站安全说起,华为云为何能成为政企的“好伙伴”

IT科技苏辞

JMeter 并发测试和持续性压测详解

Liam

测试 压测 并发测试 测试工具

相约用友BIP技术大会,用友iuap带您玩转数据智能

用友BIP

技术大会 用友iuap 数智化底座

瓴羊Quick BI与网易有数,看国产BI工具如何起势

夏日星河

全面数字化时代,国有大型银行如何走好金融创新之路?

华为云开发者联盟

数据库 后端 华为云 华为云开发者联盟 企业号 4 月 PK 榜

观远数据 × Azure OpenAI,国内首个 BI Copilot 产品化应用

观远数据

ChatGPT

火山引擎云原生数据仓库ByteHouse技术白皮书V1.0(中)

字节跳动数据平台

数据仓库 云原生 白皮书 云数据仓库 企业号 4 月 PK 榜

又“刑”了!搞瘫公司三千多工作电脑,不给 500 万就删 IT 账户,网友:快乐的员工谁干这事儿啊_管理/文化_褚杏娟_InfoQ精选文章