Faltou o monitoramento. Ataque pega ADMs, backups e 3.284 estações

"Um engenheiro de infraestrutura de TI norte-americano, chamado Daniel Rhyne, foi preso no dia 27 de Agosto e está sendo processado por ter feito um ameaçador ataque à empresa da qual era funcionário, no estado americano de Nova Jersey. Ele mora em outro estado, o Missouri, e foi preso pela tentativa de extorsão segundo nota da Justiça: em 25 de Novembro de 2023, ele informou a todos os administradores de TI que eles haviam perdido o acesso à rede da empresa, que havia apagado os backups, e deletaria diariamente 40 dos 254 servidores Windows, caso não recebesse um resgate de 20 bitcoins – ou US$ 750 mil – num prazo de dez dias. Ele também alterou as senhas de duas contas de administrador local, afetando 3.284 estações de trabalho, e de fato desligou servidores e estações a partir de dezembro de 2023, informaram os promotores no processo. A investigação revelou que Rhyne obteve acesso não autorizado aos sistemas da empresa, acessando remotamente com uma conta de administrador. Com isso, agendou várias tarefas para serem realizadas na rede, incluindo a alteração das senhas do administrador e o desligamento de servidores. Rhyne controlava o endereço usado para enviar aos funcionários da empresa, em 25 de novembro, o e-mail de extorsão."

Fonte: Ciso Advisor

Data: 29/08/2024

A importância da observabilidade no ambiente de TI é crucial para detectar comportamentos suspeitos, mesmo quando provenientes de profissionais contratados para proteger as informações e dados da empresa. O caso de Daniel Rhyne é um exemplo de muitos outros.

Intencionalmente ou não em outros casos, este incidente destaca a necessidade de monitoramento contínuo e rigoroso aos sistemas de TI para identificar e mitigar ameaças internas. A observabilidade permite detectar atividades anômalas rapidamente, protegendo a integridade e a segurança dos dados da empresa.

Conheça a nossa plataforma CyberSOC - Para nós, segurança e privacidade são elementos inegociáveis.