Nach Angaben der Anklage drang Daniel Rhyne über ein Administratorkonto aus der Ferne in das Netzwerk seines Arbeitgebers ein, eines Industrieunternehmens mit Hauptsitz im Somerset County in New Jersey. Der Zugriff erfolgte zwischen dem 9. und 25. November.
In dieser Zeit soll er auf dem Windows-Domänencontroller geplante Aufgaben angelegt haben, um Netzwerk-Administratorkonten zu löschen sowie die Passwörter von 13 Domänen-Administratorkonten und 301 Domänen-Benutzerkonten auf “TheFr0zenCrew!” zu ändern. Weitere eingeplante Aufgaben zielten den Ermittlern zufolge darauf, die Passwörter von zwei lokalen Administratorkonten zu ändern, was 3.284 Arbeitsplatzrechner betroffen hätte, sowie von zwei weiteren lokalen Administratorkonten, die 254 Server im Netzwerk betroffen hätten. Zudem soll er Aufgaben eingerichtet haben, um über mehrere Tage im Dezember 2023 zufällig ausgewählte Server und Rechner herunterzufahren.
Am 25. November verschickte Rhyne an mehrere Kollegen eine Erpressungs-E-Mail mit dem Betreff “Ihr Netzwerk wurde kompromittiert”. Darin hieß es, sämtliche IT-Administratoren seien aus ihren Konten ausgesperrt und die Server-Backups gelöscht worden, um eine Datenwiederherstellung unmöglich zu machen. Sollte das Unternehmen kein Lösegeld von 20 Bitcoin – damals rund 750.000 US-Dollar – zahlen, drohte er an, in den folgenden zehn Tagen täglich 40 zufällige Server abzuschalten.
“Am oder um den 25. November 2023, gegen etwa 16:00 Uhr EST, erhielten bei Opfer 1 beschäftigte Netzwerkadministratoren Benachrichtigungen über das Zurücksetzen von Passwörtern für ein Domänen-Administratorkonto sowie für Hunderte von Benutzerkonten”, heißt es in der Anklageschrift. Kurz darauf hätten die Administratoren festgestellt, dass alle übrigen Domänen-Administratorkonten gelöscht worden waren, womit ihnen der administrative Zugriff auf die Netzwerke entzogen war.
Forensische Ermittler stellten fest, dass Rhyne am 22. November über eine versteckte virtuelle Maschine und sein Konto im Internet nach Informationen zum Löschen von Windows-Protokollen, zum Ändern von Domänen-Benutzerpasswörtern und zum Löschen von Domänenkonten gesucht hatte. Eine Woche zuvor hatte er auf seinem Laptop ähnliche Suchanfragen gestellt, darunter “Befehlszeile zum Ändern des Passworts eines lokalen Administrators aus der Ferne”.
Rhyne wurde am Dienstag, dem 27. August, in Missouri festgenommen und nach seiner ersten Anhörung vor einem Bundesgericht wieder freigelassen. Die Anklagepunkte Hacking und Erpressung, zu denen er sich schuldig bekannte, sehen eine Höchststrafe von 15 Jahren Haft vor.
