Engineer bekent saboteren van duizenden workstations om werkgever af te persen

In dit artikel:

Een 59-jarige Amerikaanse core infrastructure engineer heeft bekend honderden servers en duizenden werkstations van zijn toenmalige werkgever te hebben gesaboteerd en de organisatie te hebben afgeperst. Eind 2023 maakte hij taken aan die leidden tot het verwijderen van 13 domain administrator-accounts en het aanpassen van wachtwoorden op 254 servers, 3.284 workstations en 301 domain user-accounts. Op dezelfde dag stuurde hij een afpersingsmail waarin hij 700.000 euro in bitcoin eiste en dreigde dagelijks tientallen servers uit te schakelen.

Onderzoek toonde aan dat de verdachte een remote verbinding opzette naar een verborgen virtual machine op het bedrijfsnetwerk; vanaf die VM werd ingelogd op het admin-account en voorbereidende stappen uitgevoerd, zoals het zoeken naar commando’s om domeingebruikerswachtwoorden te wijzigen, computers op afstand uit te schakelen en Windows-logbestanden te verwijderen. Forensische analyse liet zien dat dezelfde gebruiker zowel de laptop van de verdachte als de verborgen VM gebruikte. De man heeft schuld bekend; hij riskeert tot vijftien jaar cel en een boete van 500.000 dollar.

Deze zaak illustreert het grote risico van kwaadwillende insiders met hoge privileges en het gebruik van verborgen virtuele omgevingen om sporen te verbergen.