近日,DoppelPaymer勒索軟件團伙在網上發佈一篇博客,首先祝賀了SpaceX和NASA(美國國家航空航天局)成功發射載人火箭,然後爆料說他們已經感染了NASA的一個IT承包商(數字管理Digital Management Inc.,DMI)的網絡。
DMI是一家位於馬里蘭州的公司,提供管理IT和網絡安全服務。勒索軟件團伙在暗網上發佈了20份盜來的文件來證明他們已經成功侵入了該數字管理公司。這些被公佈的員工的詳細信息與他們在社交網站LinkedIn上的個人資料相符。其他受到NASA承包商泄密事件影響的公司還包括使用該公司服務的《財富》100強公司。
數據被DoppelPaymer勒索軟件團伙破壞
泄密的文件顯示,DoppelPaymer勒索軟件訪問了各種記錄,包括HR文件和NASA承包商的項目計劃。
DMI發表了一份聲明說,“我們最近意識到一起數據安全事件影響了我們的公司系統。隨後,我們立即讓所有系統離線,並請第三方安全專家協助調查,並努力保護系統信息安全,儘量安全地恢復系統。”
DoppelPaymer勒索軟件運營着多個在線黑客論壇,在這些論壇中,他們發佈泄露的數據樣本,以恐嚇受害者支付贖金。若不付款他們會將所有文件發佈出去,從而對公司造成潛在的不可彌補的損失。
DoppelPaymer勒索軟件採取了另一家臭名昭著的勒索軟件運營商Maze勒索軟件(Maze ransomware)的策略,使用雙重勒索來迫使用戶服從。受影響的NASA承包商尚未表明是否進行贖金談判。
勒索軟件REvil也開始出售盜來的數據,而不是在受害者拒絕讓步時免費泄露。以前的勒索軟件攻擊包括將計算機用戶鎖在系統之外,並在用戶無法付款時保留數據。但現在犯罪分子變得更加殘酷,使用一切可能的手段勒索公司。
因爲無法確保犯罪分子在收到贖金後會交出加密密鑰或放棄在線銷售數據。所以許多公司感到有必要忽略贖金要求,以避免獎勵不良行爲或遭受更多損失。
對NASA承包商的網絡攻擊造成的破壞
DoppelPaymer勒索軟件團伙發佈了2583臺服務器和工作站的列表,這些服務器和工作站目前已被攻擊者劫持爲人質。網絡犯罪團伙說,這些設備是DMI內部網絡的一部分。受影響的NASA承包商還沒有就此事發表任何聲明。
有關DoppelPaymer勒索軟件如何成功地對NASA承包商進行如此大規模攻擊的細節尚不明確。據推測,網絡犯罪分子很可能是通過攻擊NASA承包商的僱員來進入系統的。
KnowBe4的安全意識倡導者Javvad Malik表示,DoppelPaymer勒索軟件如何成功實施這個攻擊的?這仍然是個謎。
“目前尚不清楚DoppelPaymer勒索軟件團伙是如何滲透到DMI的,或者它們實際傳播了多遠。但是,它給出了確保整個供應商和供應商生態系統安全的要點。即組織不僅需要保護自己的系統,還需要與所有合作伙伴和供應商進行盡職的調查和充分性檢查,並制定相應的程序來響應威脅事件和共享信息。”
4月初,NASA發佈了一份備忘錄,通知僱員和承包商,要警惕新一輪的針對惡意軟件攻,並警告僱員和承包商,網絡罪犯正在瞄準NASA的電子設備、網絡和個人設備。
該警告稱,黑客的目的是希望竊取敏感信息、傳播錯誤信息、實施欺詐以及實施分佈式拒絕服務(DDoS)攻擊。不幸的是,NASA的警告並沒能阻止泄露事件的發生。
除了DoppelPaymer勒索軟件外,Ryuk和Maze勒索軟件團伙以及其他網絡威脅者也在利用當前的COVID-19危機進行破壞活動。
供應鏈網絡安全令人擔憂
針對政府機構的勒索軟件攻擊頻頻發生,引發了人們對多家聯邦承包商採取的安全措施的擔憂。核導彈承包商Westech International也曾遭到勒索軟件攻擊,併爲泄露的敏感信息繳納了數據贖金。
這些承包商形成了一個薄弱環節,網絡犯罪分子利用這個環節從聯邦機構獲取敏感信息。這次大規模的攻擊可能會對NASA承包商的聲譽造成可怕的後果。
Cerberus Sentinel解決方案架構副總裁Chris Clements 評論說:“針對供應商或業務合作伙伴的供應鏈網絡攻擊可能會讓那些沒有考慮到這種潛在風險的企業措手不及。所有組織都要對任何可以訪問其數據或網絡的商業夥伴進行盡職調查,這一點至關重要。”
他補充說,企業可以通過簽訂數據安全措施的合同協議來緩解這種情況。
“有效的管理策略可以包括執行合同要求,即所有供應商或承包商都遵守信息安全最佳實踐,並定期進行測試,以確認不存在可能威脅組織的安全問題。”
考慮業務合作伙伴遇到網絡威脅後可能出現的問題也應是風險管理的一部分。這些做法應包括保障措施和控制措施,以確保將合作伙伴訪問權限與主要IT環境分開,以減少涉及業務合作伙伴的違規行爲造成的損害。
*本文出自SCA安全通信聯盟,轉載請註明出處。