Operatorii ramsomware-ului DopplePaymer solicită unui subcontractor al NASA răscumpararea datelor

Atacatorii au obținut accesul la infrastructura companiei DMI, subcontractor NASA.

image

La 03.06.2020, operatorii programului ransomware DopplePaymer au felicitat SpaceX și NASA pentru lansarea capsulei Crew Dragon, anunțându-și totodată reușita atacului malware asupra DMI, companie subcontractoare a NASA.

Potrivit ZDNet, atacatorii au reușit să intre în rețelele Digital Management Inc. (DMI), companie de securitate IT cu sediul central la Maryland. Clienții DMI includ atât companii importante precum Fortune 100, cât și agenții guvernamentale, de exemplu NASA. In prezent nu se cunoaște cât de profund au pătruns infractorii informatici în rețelele companiei și câte rețele ale clienților DMI au reușit să compromită. La o primă analiză, atacatorii au avut acces la infrastructura DMI legată de NASA, extrăgând de acolo fișiere referitoare la agenția spațială americană.

Drept confirmare a acțiunii lor frauduloase, operatorii DopplePaymer au publicat 20 de fișiere arhivate pe portalul lor de pe darkweb.

dmi-nasa.png

Acestea conțin o varietate de informații, de la documente legate de managementul personalului până la planuri de proiecte. Datele angajaților din fișierele respective coincid cu datele de pe conturile lor de pe LinkedIn.

dmi-forms-wfh.png

Infractorii au publicat, de asemenea, o listă cu 2583 de servere și stații de lucru, conectate la rețeaua internă a DMI. Conform site-lui, răufăcătorii au criptat conținutul mașinilor și cer acum răscumpărare pentru a le debloca.

dmi-machine-list.png

De ce hackerii nu au criptat pur și simplu datele și nu au cerut răscumpărarea fără a le mai publica? Explicația ar fi că DopplePaymer este una dintre grupările care gestionează site-urile cu scurgeri de date existente pe darkweb (“leak sites”). Pentru început, infractorii publică doar o mică parte din masivul de date iar dacă victima refuză să plătească răscumpărarea publică și restul fișierelor. Acest modus operandi a fost semnalat în luna decembrie 2019, fiind utilizat de grupări de hackeri precum Maze, Mespinoza (Pysa), Ragnarlocker și REvil (Sodinikibi).

Sursa: https://www.securitylab.ru/news/508805.php