整理 | 郑丽媛

听过因对前司不悦而删库跑路的模式员，听过径直删除备份、反过来高调绑架公司的吗？

近日，好意思国一家工业企业的前职工因试图绑架公司而被捕：据报谈，这名 IT 职工诳骗我方对公司系统的深度了解，不仅删除了公司的业绩器备份，还锁定了统共 IT 管制员，随后条款公司支付其价值 75 万好意思元的比特币。

效果呢？绑架未遂，并于上月被捕，现濒临最高 35 年扣留和 75 万好意思元罚金的判处。

57 岁工程师去职后，绑架公司 75 万好意思元

根据好意思国新泽西州地区巡视官办公室发布的公告，这名 IT 职工名叫 Daniel Rhyne，现年 57 岁，他曾在一家总部位于新泽西州的工业公司担任中枢基础设施工程师，同期还兼任公司的造谣机大家一职。

作为公司的前中枢基础设施工程师，Rhyne 领有较高的系统权限，并熟习公司的收罗架构。根据案件文献泄露，他因某种不解原因对公司心胸不悦，于 2023 年 11 月 9 日在公司收罗上创建了一个荫藏造谣机（未经授权的造谣机），并将用户账户密码设置为"TheFr0zenCrew!"。

从公司去职之后，Rhyne 在 2023 年 11 月 8 -25 日历间，曾屡次诳骗这个荫藏造谣机，悄悄汉典窥察前司的某个管制员账户，未经授权地参加公司系统，并在 11 月 25 日上昼诳骗该权限安排了一系列窒碍性任务，大体包括：

（1）用"net user"敕令删除 13 个域管制员账户，并将管制员账户的密码变嫌为"TheFr0zenCrew!"；

（2）用"net user"敕令将 301 个域用户账户的密码变嫌为"TheFr0zenCrew!"；

（3）用 Sysinternals 器具"PsPasswd"将影响 254 台公司业绩器的两个土产货管制员账户的密码变嫌为 "TheFr0zenCrew!"；

（4）用 Sysinternals 器具"PsPasswd"将影响 3284 台公司使命站的两个土产货管制员账户的密码变嫌为 "TheFr0zenCrew!"。

根据司法部门的过后窥察，以上任务齐是 Rhyne 本日上昼调理设置的，并定时在 2023 年 11 月 25 日下昼 4：00 驱动推论。于是本日下昼 4:00 傍边，公司的收罗管制员驱动收到域管制员账户和数百个用户账户的密码重置告知。不仅如斯，他们还发现公司的统共其他域管制员账户也均被删除，导致域管制员压根无法窥察公司的计较机收罗。

在一派紊乱中，到了下昼 4:44 傍边，部分职工一会儿收到了一封来自外部的电子邮件，标题为 "您的收罗已被入侵"——没错，即是 Rhyne 发送的绑架邮件。

Rhyne 在这封邮件本色明确暗意：公司统共 IT 管制员的权限“已被锁定或删除“，业绩器备份也“已被删除“，若是公司不在 2023 年 12 月 2 日之前将价值 70 万欧元的赎金以 20 个比特币（其时价值约 75 万好意思元，合约 532 万元东谈主民币）的花样转到邮件中指定的 BTC 地址，自 2023 年 12 月 3 日起，他将每天“速即关闭 40 台业绩器，为期 10 天“。

最高可能被判处 35 年扣留和 75 万好意思元罚金

很彰着，不管是变嫌管制员和用户密码还是关闭公司业绩器，Rhyne 的举止齐是经过尽心筹办的。

他设置这些任务的缠绵即是为了隐晦公司窥察其系统和数据，一朝筹备被沿途推论，那么这家公司的业务就很可能中断——换句话说，Rhyne 即是通过窒碍其中枢业务运营，以此向公司绑架巨额赎金。

面对这一阻难，公司立即张开窥察并报警。好意思国巡视官 Philip R. Sellinger 暗意，FBI 非凡差佬在密苏里州和新泽西州的相助下，到手锁定了 Rhyne 的行恶凭据，并通过跟踪 Rhyne 的电子邮件地址，飞速锁定了他的身份和位置。最终，Rhyne 在 2024 年 8 月 27 日于密苏里州被捕。

现在，Rhyne 濒临三项严重指控：

● 第一项是阻难窒碍受保护计较机的绑架罪，最高可判处 5 年扣留，并罚金 25 万好意思元；

● 第二项是有益窒碍受保护的计较机，最高可判处 10 年扣留，并罚金 25 万好意思元；

● 第三项则是电信诈骗，最高可判处 20 年扣留，并罚金 25 万好意思元。

也即是说若三罪并罚，Rhyne 最高可能会被判处 35 年扣留和 75 万好意思元的罚金。

来自企业里面的阻难，难以贯注

事实上，Rhyne 的案例并非个例，里面阻难也一直是企业信息安全中最难以贯注的部分。

这种阻难可能是特意的，举例像 Rhyne 这么对公司系统结构极为熟习的技艺东谈主员；也可能是有时的，如职工漂浮导致的信息透露：根据 Armis 财富智能平台的一项说合泄露，67% 的英国职工在未经 IT 部门许可的情况下暗里下载软件，给企业收罗带来了强劲的安全隐患。

关于 Rhyne 的阻难绑架步履，IT 处置磋磨公司 GRC 部门厚爱东谈主 Damian Garcia 指出，企业通常更专注于留有时部阻难，举例细心收罗攻击或加强外部入侵检测，却疏远了里面阻难带来的潜在风险。他认为此次事件应作为警示，教唆企业必须实施健全的去职管制过程，尤其是关于具有技艺智商的职工，当他们去职时应实时排除他们对系统的窥察权限。

“咱们但愿职工能窥察他们所需的系统和信息，便捷他们完成使命。但恰是这种信任和窥察权限，一朝职工思要打击攻击，企业将濒临强劲危急。”

正如 Damian Garcia 所说，其实近几年企业发生里面阻难的频率和危害性在束缚飞腾。安全说合团队 Trustwave 在说合金融限制的企业里面阻难情况时发现，40% 的企业在昔时几年中发生了更为通常的里面攻击，其中 45% 企业在客岁一年内甚而履历了逾越五次的访佛事件。

此外 Trustwave 还估算，平均每次里面阻难事件给企业带来的亏损高达 500 万好意思元——这一惊东谈主数字证据里面阻难不单是是技艺层面的问题，更会对企业财务酿成强劲打击。

针对怎样镌汰企业里面攻击的问题，Damian Garcia 认为企业须吸收多方面的细心政策，其中职工意志培训是要道设施之一：“营造一个安全的文化氛围至关进击，不单是是 IT 部门，统共职工齐需要了解我方在安全环境中的变装。让职工感到安全，悦目文书举例点击垂纶流畅等诞妄，以确保快速反映。”

除此以外，技艺妙技相似进击。Damian Garcia 提倡，企业应吸收窥察管制、邮件过滤和监控器具等技艺设施来减少里面攻击的风险。他进一步补充谈，分层细心是最好政策，只好通过多端倪的防护设施，企业武艺在面对无法预思的阻难时仍然好像保抓安全。

网友关怀：为什么这位 IT 职工会对公司不悦？

不同于安全大家看待这件事情的角度，诸多网友的关怀点在于：为什么这位 IT 职工会对公司不悦？

“这个东谈主应该是被公司罢黜了吧，但 HR 只会把他们统称为去职者。”

“我认为这件事的要点，应放在老板该怎样期间警惕来自待遇差、工资低的职工的攻击。”

“嗅觉最近这种事发生得越来越通常了，让东谈主不得不怀疑，是不是企业总把职工看成任劳任怨的牛马，才迫使他们在去职时产生‘不如两败俱伤’的思法。”

另外关于 Daniel Rhyne 的绑架攻击，也梗概出现了两种说法：复盘并优化 Daniel Rhyne 举止筹备 or 质疑该公司的去职过程不健全。

“他果真用我方的电子邮件地址发送信息，这也太傻了，明明匿名电子邮件客户端有许多啊。再不济，用匿名代理或 Tor 连合到其中一个，就能确保他们无法跟踪到你了。”

“他是不是认为 IT 步履无法跟踪，还是他忘了还有收罗安全团队这个东西？”

“我臆测他被裁之前，应该莫得预先告知 IT 部门。我之前处所的公司亦然这么，有个践诺室司理被裁了，但莫得同步技艺部门，效果这个东谈主回家之后就驱动删库，等系统发出警报了公司才发现。”

临了，有一位网友的挑剔取得了许多东谈主的招供：“事实讲解，作念这种事莫得好效果。被公司罢黜虽然压力很大，但这么一怒之下的攻击，即使莫得入狱，以后也无法连接在这个限制使命了。”