ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Операторы вымогательского ПО DopplePaymer поздравили SpaceX и NASA с их первым совместным запуском управляемой человеком ракеты и тут же объявили о взломе одного из IT-подрядчиков космического агентства.

Как сообщает ZDNet, злоумышленникам удалось взломать сети компании Digital Management Inc. (DMI) в штате Мэриленд, предоставляющей своим клиентам управляемые сервисы безопасности. В числе клиентов DMI есть крупные компании из списка Fortune 100, а также правительственные учреждения, в том числе NASA.

Как глубоко киберпреступники проникли в сети компании и сколько сетей ее клиентов им удалось взломать, неизвестно. Судя по всему, злоумышленники получили доступ к связанной с NASA инфраструктуре DMI и похитили из нее файлы космического агентства.

В качестве подтверждения взлома операторы DopplePaymer опубликовали на своем портале в даркнете 20 заархивированных файлов. В них содержится самая разная информация, начиная от документов, связанных с управлением персоналом, и заканчивая проектными планами. Представленные в файлах данные сотрудников совпадают с их данными в LinkedIn.

Киберпреступники также опубликовали список из 2583 серверов и рабочих станций, предположительно подключенных ко внутренней сети DMI. По их словам, они зашифровали содержимое этих машин и теперь требуют выкуп за его восстановление.

Почему киберпреступникам было просто не зашифровать данные и не потребовать выкуп без их публикации? DopplePaymer является одной из нескольких группировок, управляющих так называемыми «сайтами утечек», где публикуются данные взломанных компаний. Сначала вымогатели выкладывают лишь небольшую порцию в качестве превью, и, если жертва откажется платить выкуп, публикуют остальные файлы. Подобная модель ведения бизнеса появилась в декабре 2019 года и ее придерживаются такие группировки, как Maze, Mespinoza (Pysa), Ragnarlocker, Revil (Sodinikibi) и пр.

https://www.securitylab.ru/news/508805.php