CyberkriminalitätHackerangriffeDatenschutz

Ehemaliger IT-Ingenieur sperrt Tausende Windows-Systeme – Erpressungsversuch mit Bitcoin-Forderung

Ehemaliger IT-Ingenieur sperrt Tausende Windows-Systeme – Erpressungsversuch mit Bitcoin-Forderung
Zusammenfassung

Ein ehemaliger Infrastruktur-Ingenieur aus Missouri hat gestanden, tausende Windows-Geräte seines Arbeitgebers gesperrt zu haben – mit dem Ziel, Lösegeld zu erpressen. Der 57-jährige Daniel Rhyne verschaffte sich im November 2023 unbefugten Zugriff auf das Netzwerk eines Industrieunternehmens in New Jersey und sperrte systematisch 254 Server sowie über 3.200 Workstations aus, indem er Admin-Passwörter änderte und Konten löschte. Danach forderte er per E-Mail 20 Bitcoin (damals etwa 750.000 Dollar) Lösegeld und drohte, täglich 40 weitere Server herunterzufahren. Der Fall zeigt ein massives Sicherheitsrisiko, das deutsche Unternehmen und Behörden besonders ernst nehmen sollten: Ein einzelner Insider mit administrativen Rechten kann die gesamte IT-Infrastruktur lahmlegen. Für deutsche Organisationen ist dies ein Weckruf, Zugriffsrechte strikter zu kontrollieren, Mitarbeiterkonten regelmäßig zu überwachen und robuste Backup-Strategien zu implementieren. Der Fall unterstreicht zudem die Notwendigkeit, verdächtige Aktivitäten zu erkennen und von Insider-Bedrohungen auszugehen – besonders bei Personal mit tiefgreifendem Netzwerkzugriff.

Das Ausmaß der Aktion zeigt beeindruckend, wie viel Schaden ein einzelner Insider anrichten kann. Rhyne nutzte Administrator-Konten, um auf dem Windows-Domain-Controller des Unternehmens Aufgaben zu planen, die systematisch Netzwerk-Admin-Konten löschten und die Passwörter von 13 Domain-Admin-Konten sowie 301 Domain-User-Konten auf „TheFr0zenCrew!” zurückgesetzt wurden. Noch kritischer: Er plante auch die Passwortänderung für zwei lokale Admin-Konten, was 3.284 Workstations betroff, sowie für weitere Admin-Konten auf 254 Servern. Zusätzlich programmierte Rhyne willkürliche Shutdowns über mehrere Dezembertage hinweg.

Am 25. November 2023 eskalierte die Situation – Rhyne versendete eine Massen-E-Mail mit dem Betreff „Your Network Has Been Penetrated” an zahlreiche Kollegen. Die Botschaft war unmissverständlich: Alle IT-Administratoren seien von ihren Konten abgemeldet, Backups gelöscht, und es folge kein Datenzugriff mehr. Seine Forderung: 20 Bitcoin (zum damaligen Zeitpunkt etwa 750.000 Dollar). Sollte das Unternehmen nicht zahlen, drohte er, täglich 40 zufällige Server für die nächsten zehn Tage herunterfahren zu lassen.

Forensische Ermittlungen enthüllten minutiöse Vorbereitung: Am 22. November nutzte Rhyne eine versteckte Virtual Machine, um gezielt nach Anleitungen zum Löschen von Windows-Logs, zum Ändern von Domain-Passwörtern und zum Löschen von Konten zu suchen. Eine Woche zuvor suchte er bereits auf seinem Laptop nach Befehlen zum Ändern von lokalen Admin-Passwörtern.

Rhyne wurde am 27. August in Missouri verhaftet und später entlassen. Die Anklage wegen Hacking und Erpressung droht mit bis zu 15 Jahren Haft. Der Fall unterstreicht ein beängstigendes Muster: Im selben Monat wurde auch ein Data Analyst in North Carolina wegen Erpressung seines Arbeitgebers Brightly Software verurteilt – er erbeutete 2,5 Millionen Dollar.

Für deutsche Organisationen ist die Botschaft klar: Insider-Bedrohungen erfordern Mehrschicht-Sicherheit – Privilege-Access-Management, kontinuierliche Überwachung und strenge Zugriffsrichtlinien für kritische Infrastruktur sind nicht verhandelbar.

Ähnliche Artikel