Il rischio più concreto per la business continuity non arriva sempre dall’esterno. Daniel Rhyne, 57 anni e con un passato da ingegnere delle infrastrutture core, ha ammesso in tribunale di essere l’autore di un massiccio attacco informatico ai danni della società industriale per cui lavorava nella contea di Somerset. Tra il 9 e il 25 novembre 2023, sfruttando i propri privilegi di amministratore, Rhyne ha ottenuto l’accesso non autorizzato alla rete aziendale per implementare un complesso piano di estorsione. L’obiettivo principale era il blocco totale dell’operatività attraverso la manipolazione dei Domain Controller Windows.
Secondo i documenti ufficiali consultati (disponibili integralmente a questo link), l’imputato ha pianificato con cura ogni mossa, agendo direttamente sulla console di gestione del dominio per escludere i propri colleghi. Rhyne ha impostato una serie di operazioni pianificate per eliminare gli account di altri amministratori di rete e modificare forzatamente le password di 13 account Domain Admin e 301 account utente. La stringa scelta per il reset, quasi una firma dell’attacco, era “TheFr0zenCrew!”.
Riscatto da 20 Bitcoin o server spenti: i dettagli del cyberattacco
L’offensiva non si è fermata alla gestione degli utenti. L’ingegnere ha esteso il raggio d’azione alle macchine locali, programmando il cambio password per due account amministrativi locali su larga scala. Questa operazione ha avuto un impatto fondamentale su 3.284 workstation e 254 server. Per aumentare la pressione sui vertici aziendali, Rhyne ha inoltre configurato dei task per lo spegnimento forzato di server e terminali a intervalli casuali durante il mese di dicembre 2023, assicurandosi che il disagio tecnico si trasformasse in un danno economico persistente.
Il 25 novembre è scattata la fase finale del piano: Rhyne ha inviato una serie di email ai colleghi con il subject “Your Network Has Been Penetrated”, dichiarando che tutti gli amministratori IT erano stati tagliati fuori e che i backup dei server erano stati cancellati per impedire qualsiasi tentativo di disaster recovery autonomo. La richiesta per sbloccare la situazione ammontava a 20 Bitcoin, una cifra che al momento del crimine valeva circa 750.000 dollari. La minaccia era esplicita: l’azienda avrebbe assistito allo spegnimento di 40 server casuali ogni giorno per i successivi dieci giorni in caso di mancato pagamento.
Le indagini condotte dagli esperti di informatica forense hanno rivelato una serie di errori grossolani commessi dall’ingegnere. Nonostante l’utilizzo di una macchina virtuale (VM) nascosta per tentare di coprire le proprie tracce, gli investigatori hanno rintracciato le ricerche web effettuate da Rhyne già una settimana prima dell’attacco. Tra le query digitate sul proprio laptop personale figuravano istruzioni su come cancellare i log di Windows, come modificare le password degli amministratori locali tramite riga di comando e come eliminare account di dominio.
Rhyne era stato arrestato in Missouri nel mese di agosto del 2024 per poi essere rilasciato dopo l’apparizione in tribunale. Dopo la sua recente dichiarazione di colpevolezza per i reati di hacking ed estorsione, però, adesso rischia una pena massima di 15 anni di reclusione.