内部威胁典型案例：前IT外包员用PowerShell脚本致企业瘫痪损失86万美元

在网络安全领域，有一种威胁往往被低估却极具破坏性——它并非来自外部的黑客组织或病毒，而是源自企业内部，特别是那些心怀不满的前员工。相较于勒索软件、APT攻击或零日漏洞，这种内部威胁更难以检测和防范，因为它利用了合法的访问权限和系统知识。

2021年5月，美国休斯敦发生了一起震惊业界的内部攻击事件，直到最近随着法院审理细节公开才完整曝光。一家业务遍布全国的大型企业在短短几分钟内被推入“未激活状态”，直接经济损失高达86.2万美元（约合人民币613万元），并触发了严重的业务连续性危机。

令人意外的是，这场危机的肇事者仅是一名被解雇的IT外包人员。

外包被解雇后，轻松绕过安全屏障重返内网

根据美国司法部（DOJ）披露的文件，这名IT外包人员名为Maxwell Schultz，现年35岁，来自俄亥俄州，曾作为合约工为一家大型企业的IT部门提供技术支持。尽管DOJ未直接点名企业，但多家媒体推断其为美国废物管理公司（Waste Management，简称WM）。

2021年5月14日，时年31岁的Maxwell Schultz被公司终止合约，其账号权限也按常规流程撤销。然而，大型企业的权限回收往往依赖人工操作，跨部门协作复杂，容易留下漏洞，尤其是外包人员的权限管理常成为“盲区”。Schultz凭借对内部系统的熟悉，冒充另一名外包人员，获取了新的登录凭证，从而轻易重新进入公司网络。

一条PowerShell脚本，触发大规模“账号失效”风暴

重新潜入系统后，Schultz并未进行复杂渗透或部署恶意软件，而是采取了一种更直接、影响更广的方式：运行一段自编的PowerShell脚本，一键重置了约2500个账号密码。这段脚本利用了Windows企业环境中常见的命令行接口，执行后导致WM全公司范围内：

● 所有员工与外包人员的电脑被强制下线

● 任何登录尝试均告失败

● 从客户服务到现场运维，所有业务流程瞬间中断

可以想象，这对一家全国性企业意味着什么——依赖内部系统的运营全面冻结，业务连续性遭受重创。而这，仅仅源于几行PowerShell代码的威力。

为掩盖行踪，Schultz事后还上网搜索了如何删除系统日志，并成功清除了多条PowerShell事件记录。尽管未能完全抹去痕迹，但这显著增加了事后取证的难度。

员工停工、客服瘫痪，企业损失超过86万美元

司法部信息显示，此次攻击造成的损失超过86.2万美元，主要包括三部分：

（1）大规模员工停工：数千名员工无法登录电脑进行工作，但企业仍需支付薪酬成本。

（2）客户服务体系中断：Waste Management的客服系统高度依赖内部工单和处理平台，密码重置后客服无法访问后台，导致服务瘫痪。

（3）恢复网络的额外人工成本：包括重新设置账号、修复系统、分析日志和排查潜在破坏，IT团队需投入大量时间进行应急响应。

这还不包括企业声誉受损、合同延迟等间接损失。参与调查的工程师感叹：“这种攻击方式看似简单，但对熟悉内情的人来说，其破坏力令人后怕。”

动机纯粹：因被解雇而泄愤

面对DOJ调查，Maxwell Schultz坦白动机：“因为被解雇而不爽。”他并非为了勒索金钱或受他人指使，纯粹是出于个人泄愤。

目前，此案已移交美国联邦地区法院，预计2026年1月30日宣判，Schultz可能面临最高10年联邦监禁和25万美元罚款。

网络安全专家指出，这类因不满被解雇而发起的“内鬼攻击”正持续增加，尤其在能源、科技等依赖外包且权限管理松散的行业。美国网络安全与基础设施安全局（CISA）多次警告企业，必须高度重视前员工和外包人员的权限回收。

类似事件层出不穷。例如，今年5月美国最大加密货币交易所Coinbase因内鬼勾结黑客暴露深层漏洞，损失超4亿美元；去年5月，FinWise银行因前员工窃取数据导致近70万用户信息泄露。

许多企业专注于防火墙、入侵检测等外部防御，却忽略了“人”的因素——尤其是那些曾拥有高权限、了解系统弱点的前工程师。他们一旦情绪失控，只需简单操作就能引发灾难性后果。

参考链接：https://www.justice.gov/usao-sdtx/pr/former-contractor-admits-hacking-employer-retaliation-termination