Mentre SpaceX e NASA celebrano il lancio del razzo Crew Dragon, il primo privato con equipaggio a bordo, il gruppo hacker dietro al ransomware DopplePaymer ha lanciato un attacco contro uno degli appaltatori IT della NASA.

Stando a un post pubblicato proprio dagli hacker, pare che i criminali siano riusciti a violare il network di Digital Management LLC: questa azienda si occupa della sicurezza informatica di svariate compagnie Fortune 100 e agenzie governative.

Gli hacker hanno poi pubblicato sul proprio sito web una ventina di archivi appartenenti alla NASA, contenenti progetti e informazioni sui dipendenti.

Gli hacker minacciano di rendere pubblici i dati rubati

Tramite DopplePaymer, gli hacker sono riusciti a criptare le informazioni contenute in 2853 server e workstation. Il modus operandi di questo ransomware è simile a quello dei più noti Maze o REvil: i criminali minacciano di rendere pubblici i dati a meno che non venga pagato un riscatto sotto forma di criptovalute.

Brenda Ferraro, VP of Third-Party Risk presso la società di gestione dei rischi Prevalent, ha commentato in merito all'incidente:

"Il programma di gestione dei rischi di terze parti della NASA dovrebbe armonizzare sia le informazioni sulle minacce che le valutazioni dei rischi, per evitare incidenti causati da appaltatori IT, dark web, ransomware e così via. [...]

Se la NASA non include la ricerca di informazioni sugli attacchi informatici come parte integrante del loro programma per contrastare i rischi, e se il monitoraggio e la valutazione delle minacce non è parte integrante delle prassi per la gestione dei rischi, verrà sicuramente trovato un punto debole nella sicurezza dell'appaltatore IT."

Criptovalute fondamentali per gli attacchi ransomware

Ferraro ha poi sottolineato che le criptovalute ricoprono un ruolo molto importante in questa tipologia di attacchi:

"Durante un attacco ransomware, la conoscenza delle minacce legate alle criptovalute svolge un ruolo fondamentale nel fare luce sui punti ciechi del dark e deep web, come siti e indirizzi IP, e in alcuni casi persino luoghi fisici, nascosti.

Senza informazioni in tempo reale su queste minacce, i network presi di mira diventano vulnerabili ad attività come ransomware e riciclaggio di denaro. [...]

Se non verrà rafforzata l'adozione di sistemi per mitigare i rischi legati a criptovalute [...], il trend degli attacchi ransomware non farà altro che stimolare ulteriormente l'economia 'da selvaggio west' delle criptovalute. Diverrebbe pertanto il settore ideale per il furto e la vendita di dati da parte dei criminali.