Lunedi 06 Luglio 2026 15:40:27 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Ransomware & Extortion

Tradimento dall’interno: l’attacco di un ingegnere “insider” paralizza l’impero IT aziendale

Pubblicato: 03 Aprile 2026 17:05Categoria: Ransomware & ExtortionArea: North AmericaAutore: SECPULSE

Sottotitolo: Un veterano dell’IT si trasforma in cyber sabotatore, mettendo in ginocchio la rete del suo ex datore di lavoro e chiedendo un riscatto in Bitcoin in una gelida dimostrazione di tattiche “living off the land”.

In un colpo di scena degno di un cyber-thriller, un ingegnere infrastrutturale di fiducia è diventato l’architetto dell’incubo IT della propria azienda. Daniel Rhyne, ex ingegnere core di 59 anni, ha ammesso di aver scatenato un attacco devastante che ha escluso migliaia di dipendenti, paralizzato 254 server Windows e lasciato una scia di distruzione digitale-il tutto restando nascosto in piena vista.

L’attacco è iniziato in sordina nel novembre 2023, quando Rhyne-armato di una conoscenza profonda dei sistemi aziendali-ha predisposto una macchina virtuale nascosta all’interno della rete del suo datore di lavoro. Sfruttando questo punto cieco digitale, ha ottenuto accesso tramite desktop remoto al domain controller, il centro nevralgico delle operazioni IT dell’organizzazione.

Ma, a differenza del tipico hacker esterno, Rhyne non ha distribuito ransomware né malware personalizzato. Si è invece affidato a una tecnica nota come “living off the land” (LotL), sfruttando strumenti amministrativi nativi di Windows per evitare di far scattare gli allarmi di sicurezza. Con il comando “net user” e PsPasswd di Sysinternals, ha eliminato sistematicamente 13 account di amministratore di dominio e reimpostato centinaia di password utente a un unico, inquietante indizio: “TheFr0zenCrew!”.

Ha orchestrato una serie di attività pianificate per compromettere ulteriormente la rete, spegnendo in modo casuale decine di server critici nell’arco di diversi giorni a dicembre. L’impatto operativo è stato catastrofico, soprattutto durante un periodo di business vitale.

Il 25 novembre, Rhyne ha scoperto le carte-inviando un’email di scherno con oggetto “Your Network Has Been Penetrated”. Il messaggio chiedeva un pesante riscatto in Bitcoin, minacciando di spegnere 40 server al giorno per dieci giorni se le sue richieste fossero state ignorate.

Gli investigatori hanno ricostruito il piano seguendo briciole digitali. L’analisi forense ha rilevato che il laptop aziendale assegnato a Rhyne era stato usato per cercare comandi di reimpostazione delle password. I log di accesso remoto puntavano dritti al suo indirizzo IP domestico nella contea di Warren, New Jersey. Il colpo di grazia: l’account email usato per l’estorsione era protetto dalla stessa password incorporata negli script dell’attacco, collegandolo in modo inequivocabile al crimine.

Il tradimento calcolato di Rhyne mette a nudo una realtà agghiacciante: le minacce più devastanti spesso arrivano da chi è stato incaricato di custodire le chiavi del regno. La sua dichiarazione di colpevolezza in un tribunale federale del New Jersey segna un monito per le organizzazioni ovunque-le minacce interne, armate di strumenti legittimi e di conoscenza intima, possono seminare il caos dall’interno.

Mentre si avvicina la sentenza, il caso Rhyne resta un promemoria netto: anche le difese tecniche più robuste possono essere vanificate da insider fidati. Vigilanza, sicurezza a più livelli e il principio del minimo privilegio sono più cruciali che mai in un mondo in cui il nemico potrebbe non aver bisogno di forzare l’ingresso-potrebbe già avere una scrivania dentro.

WIKICROOK

  • Domain Controller: Un Domain Controller è un server centrale nelle reti Windows che gestisce l’autenticazione degli utenti, le policy di sicurezza e l’accesso alle risorse di rete.
  • Living off the Land (LotL): Living Off the Land (LOTL) è un metodo di hacking in cui gli attaccanti usano strumenti di sistema legittimi per nascondere l’attività malevola ed eludere il rilevamento di sicurezza.
  • PsPasswd di Sysinternals: PsPasswd è uno strumento Microsoft Sysinternals che consente agli amministratori di cambiare da remoto le password degli utenti sui sistemi Windows, supportando la gestione e la sicurezza della rete.
  • Attività pianificate: Le attività pianificate sono job automatizzati di Windows impostati per essere eseguiti in orari specifici o al verificarsi di eventi, spesso usati per la manutenzione ma talvolta sfruttati dagli attaccanti.
  • Accesso Desktop remoto: L’accesso desktop remoto consente agli utenti di controllare un computer da un’altra posizione via internet, abilitando supporto remoto, amministrazione e telelavoro.