Il gruppo ransomware hackera la rete del contraente IT della NASA

Gli attaccanti dietro il ransomware DopplePaymer hanno annunciato sul dark web di aver hackerato con successo i server di uno dei contraenti di tecnologia dell’informazione della NASA, secondo un rapporto di ZDNet.

Nel suo post sul blog, DopplePaymer ha prima congratulato ** SpaceX e NASA (Amministrazione Nazionale dell’Aeronautica e dello Spazio) per il loro riuscito lancio di razzi con equipaggio, e poi ha immediatamente annunciato di aver compromesso la rete della Digital Management (DMI).

DMI è un’azienda con sede nel Maryland che fornisce servizi IT gestiti e cybersecurity su richiesta a diverse aziende Fortune 100 e a diverse agenzie governative statunitensi, tra cui la NASA e la Defense Information Systems Agency (DISA).

“Congratulazioni a Space-X e NASA per il lancio riuscito,” ha affermato il post del blog. “Ma per quanto riguarda la NASA, i loro partner ancora non si preoccupano dei dati…”

Secondo il gruppo DopplePaymer, avevano accesso a ben 2.583 server e workstation, che affermano far parte della rete interna di DMI. Questi server e workstation sono stati crittografati e ora sono tenuti in ostaggio per un riscatto.

La gang ransomware ha pubblicato 20 file archiviati relativi alla NASA su un portale del dark web per supportare le loro affermazioni. Questi file di archivio includevano documenti delle Risorse Umane (HR), file excel con piani di progetto e schede di descrizione del lavoro con registrazioni dei dipendenti.

“I dettagli dei dipendenti inclusi in questi file corrispondevano ai registri pubblici di LinkedIn,” ha scritto ZDNet.

Il motivo per cui la gang DopplePaymer ha rilasciato gli archivi e l’elenco di server e workstation è per chiedere un riscatto all’azienda. Gli attaccanti pubblicano prima piccoli campioni di file crittografati rubati, e se le vittime non pagano l’importo del riscatto, rilasciano i file rimanenti sul dark web come rappresaglia.

Non è chiaro quanto gravemente la gang DopplePaymer abbia impattato la rete di DMI o quanti network di clienti siano stati compromessi. DMI deve ancora rilasciare ufficialmente una dichiarazione sul proprio sito web o un comunicato stampa riguardo alla violazione.