近日,DoppelPaymer勒索软件团伙在网上发布一篇博客,首先祝贺了SpaceX和NASA(美国国家航空航天局)成功发射载人火箭,然后爆料说他们已经感染了NASA的一个IT承包商(数字管理Digital Management Inc.,DMI)的网络。
DMI是一家位于马里兰州的公司,提供管理IT和网络安全服务。勒索软件团伙在暗网上发布了20份盗来的文件来证明他们已经成功侵入了该数字管理公司。这些被公布的员工的详细信息与他们在社交网站LinkedIn上的个人资料相符。其他受到NASA承包商泄密事件影响的公司还包括使用该公司服务的《财富》100强公司。
数据被DoppelPaymer勒索软件团伙破坏
泄密的文件显示,DoppelPaymer勒索软件访问了各种记录,包括HR文件和NASA承包商的项目计划。
DMI发表了一份声明说,“我们最近意识到一起数据安全事件影响了我们的公司系统。随后,我们立即让所有系统离线,并请第三方安全专家协助调查,并努力保护系统信息安全,尽量安全地恢复系统。”
DoppelPaymer勒索软件运营着多个在线黑客论坛,在这些论坛中,他们发布泄露的数据样本,以恐吓受害者支付赎金。若不付款他们会将所有文件发布出去,从而对公司造成潜在的不可弥补的损失。
DoppelPaymer勒索软件采取了另一家臭名昭著的勒索软件运营商Maze勒索软件(Maze ransomware)的策略,使用双重勒索来迫使用户服从。受影响的NASA承包商尚未表明是否进行赎金谈判。
勒索软件REvil也开始出售盗来的数据,而不是在受害者拒绝让步时免费泄露。以前的勒索软件攻击包括将计算机用户锁在系统之外,并在用户无法付款时保留数据。但现在犯罪分子变得更加残酷,使用一切可能的手段勒索公司。
因为无法确保犯罪分子在收到赎金后会交出加密密钥或放弃在线销售数据。所以许多公司感到有必要忽略赎金要求,以避免奖励不良行为或遭受更多损失。
对NASA承包商的网络攻击造成的破坏
DoppelPaymer勒索软件团伙发布了2583台服务器和工作站的列表,这些服务器和工作站目前已被攻击者劫持为人质。网络犯罪团伙说,这些设备是DMI内部网络的一部分。受影响的NASA承包商还没有就此事发表任何声明。
有关DoppelPaymer勒索软件如何成功地对NASA承包商进行如此大规模攻击的细节尚不明确。据推测,网络犯罪分子很可能是通过攻击NASA承包商的雇员来进入系统的。
KnowBe4的安全意识倡导者Javvad Malik表示,DoppelPaymer勒索软件如何成功实施这个攻击的?这仍然是个谜。
“目前尚不清楚DoppelPaymer勒索软件团伙是如何渗透到DMI的,或者它们实际传播了多远。但是,它给出了确保整个供应商和供应商生态系统安全的要点。即组织不仅需要保护自己的系统,还需要与所有合作伙伴和供应商进行尽职的调查和充分性检查,并制定相应的程序来响应威胁事件和共享信息。”
4月初,NASA发布了一份备忘录,通知雇员和承包商,要警惕新一轮的针对恶意软件攻,并警告雇员和承包商,网络罪犯正在瞄准NASA的电子设备、网络和个人设备。
该警告称,黑客的目的是希望窃取敏感信息、传播错误信息、实施欺诈以及实施分布式拒绝服务(DDoS)攻击。不幸的是,NASA的警告并没能阻止泄露事件的发生。
除了DoppelPaymer勒索软件外,Ryuk和Maze勒索软件团伙以及其他网络威胁者也在利用当前的COVID-19危机进行破坏活动。
供应链网络安全令人担忧
针对政府机构的勒索软件攻击频频发生,引发了人们对多家联邦承包商采取的安全措施的担忧。核导弹承包商Westech International也曾遭到勒索软件攻击,并为泄露的敏感信息缴纳了数据赎金。
这些承包商形成了一个薄弱环节,网络犯罪分子利用这个环节从联邦机构获取敏感信息。这次大规模的攻击可能会对NASA承包商的声誉造成可怕的后果。
Cerberus Sentinel解决方案架构副总裁Chris Clements 评论说:“针对供应商或业务合作伙伴的供应链网络攻击可能会让那些没有考虑到这种潜在风险的企业措手不及。所有组织都要对任何可以访问其数据或网络的商业伙伴进行尽职调查,这一点至关重要。”
他补充说,企业可以通过签订数据安全措施的合同协议来缓解这种情况。
“有效的管理策略可以包括执行合同要求,即所有供应商或承包商都遵守信息安全最佳实践,并定期进行测试,以确认不存在可能威胁组织的安全问题。”
考虑业务合作伙伴遇到网络威胁后可能出现的问题也应是风险管理的一部分。这些做法应包括保障措施和控制措施,以确保将合作伙伴访问权限与主要IT环境分开,以减少涉及业务合作伙伴的违规行为造成的损害。
*本文出自SCA安全通信联盟,转载请注明出处。(SCA安全通信联盟原创文章对外开白,欢迎加微信MrYe9173751开白)
