電子產(chǎn)業(yè)一站式賦能平臺

PCB聯(lián)盟網(wǎng)

搜索
查看: 60|回復: 0
收起左側(cè)

又“刑”了!搞癱公司三千多工作電腦,不給 500 萬就刪 IT 賬戶,網(wǎng)友:快樂的員工誰干這事兒啊

[復制鏈接]

435

主題

435

帖子

3091

積分

四級會員

Rank: 4

積分
3091
跳轉(zhuǎn)到指定樓層
樓主
發(fā)表于 6 天前 | 只看該作者 |只看大圖 回帖獎勵 |倒序瀏覽 |閱讀模式
點擊上方“C語言與CPP編程”,選擇“關(guān)注/置頂/星標公眾號
干貨福利,第一時間送達!
最近有小伙伴說沒有收到當天的文章推送,這是因為微信更改了推送機制,導致沒有星標公眾號的小伙伴刷不到當天推送的文章,無法接收到一些比較實用的知識和資訊。所以建議大家加個星標??,以后就能第一時間收到推送了。

整理 | 褚杏娟、核子可樂 | 轉(zhuǎn)自 InfoQ美國一家全國性工業(yè)企業(yè)遭某心懷不滿的 IT 員工報復。Daniel Rhyne 是這家企業(yè)的核心基礎(chǔ)設(shè)施工程師,他曾試圖向所在公司勒索價值 75 萬美元(約530萬人民幣)的比特幣。
2023 年 11 月 25 日,該公司的網(wǎng)絡(luò)管理員收到通知,提示其域管理員賬戶以及數(shù)百個用戶賬戶的密碼遭到重置。此后不久,網(wǎng)絡(luò)管理員發(fā)現(xiàn)其他域管理員賬戶均已被刪除,導致各域管理員無法正常訪問計算機網(wǎng)絡(luò)。大約 44 分鐘后,該公司的部分員工收到一封來自外部勒索電子郵件地址,標題為“你的網(wǎng)絡(luò)已遭入侵”。
勒索軟件向收件人發(fā)出警告稱:該公司的所有“IT 管理員賬戶均已被鎖定或刪除”,因此公司計算機網(wǎng)絡(luò)無法登錄;公司的所有“備份均已被刪除”;如果未在 2023 年 12 月 2 日之前將 70 萬歐元的贖金以 20 比特幣的形式匯入勒索郵件中指定的 BTC 地址,則每天將另外“隨機關(guān)閉 40 臺服務(wù)器,為期 10 天”。按 2023 年 11 月 25 日當天的價格計算,20 個比特幣的價值約為 75 萬美元。
執(zhí)法部門根據(jù)調(diào)查,確認從 2023 年 11 月 8 日左右到 11 月 25 日左右,這家公司的計算機網(wǎng)絡(luò)上確實發(fā)生了惡意活動。公司域控制器上存在了多項計劃任務(wù),具體包括:刪除公司的 13 個域管理員賬戶、更改受害者共 301 個域用戶賬戶的密碼、更改受害者兩個本地管理員賬戶的密碼,具體影響到 254 臺服務(wù)器;更改公司另外兩個本地管理員賬戶的密碼,影響到了 3284 臺工作站;在 2023 年 12 月的數(shù)日之內(nèi),關(guān)閉了受害者多臺服務(wù)器和工作站。
這些計劃任務(wù)為統(tǒng)一設(shè)置,目的是阻止公司正常訪問其系統(tǒng)和數(shù)據(jù)。
在 2023 年 11 月 25 日上午 7:48 左右,該公司管理員賬戶曾遭 7 次未授權(quán)訪問,Rhyne 由遠程桌面會話發(fā)起了該訪問,從上午 7:48 持續(xù)至上午 9:45 左右。這期間,Rhyne 創(chuàng)建了自己的“計劃任務(wù)”。
8:12 左右起,Rhyne 控制管理員賬戶開始在其域控制器上創(chuàng)建約 16 項未經(jīng)授權(quán)的“計劃任務(wù)”,其中 6 項“計劃任務(wù)”配置為在 2023 年 11 月 25 日下午 4:00 這一特定時間點執(zhí)行,其余計劃任務(wù)則為從 2023 年 12 月 3 日開始的幾天內(nèi),對受害者的數(shù)十臺計算機服務(wù)器執(zhí)行關(guān)停。如果這些計劃任務(wù)實際執(zhí)行,則受害者將無法訪問其系統(tǒng)和數(shù)據(jù),很可能導致其業(yè)務(wù)運營中斷。
該遠程桌面會話源自公司網(wǎng)絡(luò)上某未經(jīng)授權(quán)的卡片機(以下簡稱“隱藏虛擬機”)。從 2023 年 11 月 10 日到 2023 年 11 月 25 日左右,該隱藏虛擬機曾多次被用于訪問受害者域控制器上的管理員賬戶。此外,該隱藏虛擬機也是該時段內(nèi)唯一通過遠程桌面會話訪問受害者域控制器上管理員賬戶的系統(tǒng)。
據(jù)調(diào)查,該隱藏虛擬機于 2023 年 11 月 9 日創(chuàng)建完成,當時隱藏虛擬機的用戶賬戶密碼為“TheFr0zenCrew!”。此密碼與受害者管理員賬戶以及 301 個域用戶賬戶被重置后的密碼內(nèi)容相同。
在此時段,公司的安全攝像頭和物理訪問日志還記錄到,Rhyne 曾親自進入受害者總部。Rhyne 在抵達公司總部后,很快就使用 Rhyne 賬戶登錄了 Rhyne 電腦,并曾多次使用該賬戶訪問隱藏虛擬機。當 Rhyne 不在受害者總部時,Rhyne 電腦的使用者會通過分配給 Rhyne 位于新澤西州沃倫縣住所的互聯(lián)網(wǎng)協(xié)議(IP)地址遠程訪問受害者的計算機網(wǎng)絡(luò),包括隱藏虛擬機。
當局隨后成功將勒索信息追溯到了 Rhyne 控制的電子郵件地址,并于 2024 年 8 月 27 日在密蘇里州將其逮捕。Rhyne 被指控犯有一項設(shè)施勒索罪、一項故意損壞受保護計算機罪和一項電信欺詐罪,目前面臨共計最高 35 年的監(jiān)禁和 75 萬美元的罰款。值得注意的是,Rhyne 今年已經(jīng) 57 歲了。
                “快樂的員工可能不會做這種事”
        這件事在 Reddit 上被網(wǎng)友熱議,核心在企業(yè)與員工上。
“感覺這類事情現(xiàn)在發(fā)生得越來越頻繁了。我絕不是縱容這種行為,但不得不懷疑,這是否是公司對待員工的‘副產(chǎn)品’,讓少數(shù)人在即將離職時充滿了這種‘我不在乎’的心態(tài)!庇芯W(wǎng)友評價道。
事實上,前不久,39 歲在新加坡工作的印度人 Kandula Nagaraju 因被解雇而感到“困惑和沮喪”,因為他認為自己在工作期間表現(xiàn)良好,并為公司“做出了良好貢獻”。于是,他進入前公司的計算機測試系統(tǒng)并刪除了 180 臺虛擬服務(wù)器,給公司造成損失約 678,000 美元。最后,他因一項未經(jīng)授權(quán)訪問計算機資料的指控被判處兩年零八個月監(jiān)禁,另一項指控正在量刑。
“在一家公司工作多年,與黑客和垃圾郵件發(fā)送者抗爭,日夜工作。修補 100 臺機器、升級和維護新用戶等。然后,無緣無故被解雇。我完全可以理解在一家公司欺騙了你和你認識的在那里工作的每個人之后,你對這家公司的態(tài)度!本W(wǎng)友 Noct 表示。
有網(wǎng)友分享了自己的身邊的真實案例。“在我工作的一家初創(chuàng)公司,也發(fā)生過類似的事情,只是規(guī)模比較小。我們有一個和藹可親但完全不稱職的 IT 經(jīng)理,他最終被解雇了。他離開后,我們發(fā)現(xiàn)他創(chuàng)建了一家與我們公司名稱相似的假公司,并將供應(yīng)商支票寄到了這個公司。他還創(chuàng)建了與供應(yīng)商名稱相似的假公司,因此他可以從兩方榨取利潤。他還負責我們的網(wǎng)站,并以自己的名義注冊了網(wǎng)站,被解雇的那天,他又重定向到了我們最大的競爭對手!
有網(wǎng)友認為,這在一定程度上反映了企業(yè)文化對人們思維的影響!澳悴恍枰睦韺W就可以知道,更快樂的員工可能不會做出這種事情。”
當然,也有網(wǎng)友提出,有的員工即使沒有那么多怨恨,也可能會做同樣的事情,即使他們曾經(jīng)受到良好的待遇,并且因為正當理由而被解雇。
還有網(wǎng)友對做出這種行為的人表示惋惜!罢媸怯薮!我知道你對工作、老板或生活不滿意,但不要對別人那么粗魯,優(yōu)雅體面地處理你的問題,然后另謀出路!薄氨唤夤褪且患芷D難、很有壓力的事情,但為此無法再在自己的領(lǐng)域工作是不值得的!
                “內(nèi)鬼”安全該被關(guān)注?
        IT Governance 治理、風險與合規(guī)管理(GRC)主管 Damian Garcia 在接受媒體采訪時表示,該事件應(yīng)當成為企業(yè)實施強有力離職流程、以防止內(nèi)部人士惡意攻擊的典型案例。
“這家公司所經(jīng)歷的情況,正是那些缺乏強有力離職流程的企業(yè)所面臨的典型威脅——當員工因違紀等理由被迫離開組織時,特別是包括系統(tǒng)管理員在內(nèi)的擁有較強技術(shù)能力的員工,必須及時撤銷其對系統(tǒng)的訪問權(quán)限。”
Garcia 還提到,內(nèi)部威脅對于組織來說已經(jīng)構(gòu)成嚴重風險。他指出,這類威脅常常遭到忽視,因為人們更傾向于抵御受到更多關(guān)注的外部威脅。
“內(nèi)部威脅對于組織來說已經(jīng)構(gòu)成極其嚴重的風險。從歷史上看,企業(yè)往往會忽視這一點,寧愿把精力集中在外部威脅行為者身上(比如那種身著連帽衫、把面部遮擋起來的刻板網(wǎng)絡(luò)犯罪分子形象)。然而,企業(yè)應(yīng)當意識到內(nèi)部威脅已經(jīng)成為更大的問題,同樣是需要認真對待的風險因素。”他解釋道。
“根據(jù)具體工作性質(zhì),我們需要保證員工能夠訪問系統(tǒng)以獲取必要的信息,借此履行他們受雇承擔的職責。也正是由于這種系統(tǒng)訪問權(quán)限以及我們需要絕對信任員工這一事實,才導致組織面臨嚴峻風險,畢竟沒人能保證這些員工永遠規(guī)規(guī)矩矩!
Trustwave 在其針對金融行業(yè)的內(nèi)部研究研究中發(fā)現(xiàn),與前幾年相比,如今 40% 的企業(yè)報告稱內(nèi)部威脅攻擊頻率有所增加,近半數(shù)(45%)的企業(yè)承認過去一年間曾經(jīng)歷五次以上的此類攻擊。
Trustwave 計算出,內(nèi)部威脅事件造成的平均損失為 500 萬美元,凸顯出此類攻擊可能造成的重大財務(wù)影響。
當然,并非所有內(nèi)部威脅都出于惡意,員工的疏忽大意也可能對所在組織造成風險。攻擊面管理專業(yè)服務(wù)商 Armis 的研究表明,67% 的英國員工會在未經(jīng) IT 部門或者安全團隊許可的情況下下載軟件,進而對業(yè)務(wù)環(huán)境造成威脅。
為了最大限度減少企業(yè)承受的內(nèi)部威脅風險(無論出于惡意還是無意),Garcia 都建議企業(yè)開展員工安全意識培訓,借此改善整體安全文化,具體措施包括營造一種支持性的辦公環(huán)境,讓員工更坦然地上報自己可能犯下的任何錯誤。
“應(yīng)對內(nèi)部威脅最有效的方法,就是組織員工安全意識培訓——缺少了這關(guān)鍵的一環(huán),數(shù)據(jù)泄漏將不可避免。必須建立起一種安全意識文化,讓每個人(而不僅僅是 IT 部門)了解到自己在安全領(lǐng)域扮演的角色和發(fā)揮的作用。員工應(yīng)當可以更坦然地上報無心之失,比如意外點擊了釣魚鏈接,以確保問題能夠快速得到響應(yīng)!盙arcia 表示。
此外,Garcia 認為,組織也可以實施多種技術(shù)措施來緩解內(nèi)部威脅,包括部署電子郵件過濾器和監(jiān)控工具!拔覀冇肋h無法預測下一個威脅來自哪里,因此多重保護體系才是保障組織安全的關(guān)鍵所在!
參考鏈接
https://www.justice.gov/usao-nj/media/1365476/dl?inline
——EOF——你好,我是飛宇。日常分享C/C++、計算機學習經(jīng)驗、工作體會,歡迎點擊此處查看我以前的學習筆記&經(jīng)驗&分享的資源。
我組建了一些社群一起交流,群里有大牛也有小白,如果你有意可以一起進群交流。

歡迎你添加我的微信,我拉你進技術(shù)交流群。此外,我也會經(jīng)常在微信上分享一些計算機學習經(jīng)驗以及工作體驗,還有一些內(nèi)推機會。


加個微信,打開另一扇窗
經(jīng)常遇到有讀者后臺私信想要一些編程學習資源,這里分享 1T 的編程電子書、C/C++開發(fā)手冊、Github上182K+的架構(gòu)路線圖、LeetCode算法刷題筆記等精品學習資料,點擊下方公眾號會回復"編程"即可免費領(lǐng)取~
感謝你的分享,點贊,在看三  

回復

使用道具 舉報

發(fā)表回復

您需要登錄后才可以回帖 登錄 | 立即注冊

本版積分規(guī)則

關(guān)閉

站長推薦上一條 /1 下一條


聯(lián)系客服 關(guān)注微信 下載APP 返回頂部 返回列表