Ransomware-Gruppe hackt in das IT-Auftragnehmernetzwerk von NASA ein

Die Angreifer hinter der Ransomware DopplePaymer haben im Dark Web angekündigt, dass sie erfolgreich in die Server eines der IT-Auftragnehmer von NASA eingedrungen sind, so ein Bericht von ZDNet.

In ihrem Blogbeitrag gratulierte DopplePaymer zunächst ** SpaceX und NASA (National Aeronautics and Space Administration) zu ihrem erfolgreichen bemannten Raketenstart und kündigte dann sofort an, dass sie das Netzwerk von Digital Management (DMI) kompromittiert haben.

DMI ist ein in Maryland ansässiges Unternehmen, das verwaltete IT-Dienste und Cybersecurity auf Abruf für mehrere Fortune-100-Unternehmen und mehrere US-Regierungsbehörden, einschließlich NASA und der Defense Information Systems Agency (DISA), bereitstellt.

„Wir gratulieren Space-X & NASA zum erfolgreichen Start“, heißt es in dem Blogbeitrag. „Aber was NASA betrifft, kümmern sich ihre Partner wieder nicht um die Daten…“

Laut der DoppelPaymer-Gruppe hatten sie Zugriff auf bis zu 2.583 Server und Arbeitsstationen, die sie als Teil des internen Netzwerks von DMI beanspruchen. Diese Server und Arbeitsstationen wurden verschlüsselt und werden nun als Geiseln gehalten.

Die Ransomware-Bande veröffentlichte 20 archivierte, NASA-bezogene Dateien auf einem Dark-Web-Portal, um ihre Ansprüche zu untermauern. Diese Archivdateien enthielten Dokumente der Personalabteilung (HR), Excel-Dateien mit Projektplänen sowie Stellenbeschreibungen mit Mitarbeiterdaten.

„Die in diesen Dateien enthaltenen Mitarbeiterdetails stimmten mit öffentlichen LinkedIn-Daten überein“, schrieb ZDNet.

Der Grund, warum die DopplePaymer-Bande die Archive und die Liste der Server und Arbeitsstationen veröffentlicht hat, ist, um Lösegeld von dem Unternehmen zu verlangen. Die Angreifer veröffentlichen zunächst kleine Proben gestohlener, verschlüsselter Dateien, und wenn die Opfer den Lösegeldbetrag nicht zahlen, leaken sie die verbleibenden Dateien im Dark Web als Vergeltung.

Es ist unklar, wie stark die DopplePaymer-Bande das Netzwerk von DMI beeinträchtigt hat oder wie viele Kundennetzwerke betroffen sind. DMI hat bisher keine offizielle Erklärung auf seiner Website oder eine Pressemitteilung zu dem Vorfall veröffentlicht.