Les opérateurs du rançongiciel (ransomware) DoppelPaymer ont félicité la NASA ainsi que la société SpaceX d’Elon Musk pour le premier lancement d’une fusée privée habitée, puis ont immédiatement annoncé qu’ils avaient infiltré le réseau d’un des sous-traitants informatiques de la NASA. (Source : ZDNet)
Nous sommes allés vérifier par nous-même avec l’aide de Damien Bancal du site Zataz.com. Il faut savoir que les opérateurs de DoppelPaymer ont mis en ligne un site web sur lequel ils publient les preuves des fuites de données (leaks) de leurs victimes (un peu à la façon de Maze).
Ce mode de fonctionnement est le nouveau mode opératoire des ransomware : avant le chiffrement des systèmes infectés, ils exfiltrent les données des serveurs via des canaux activés depuis leur Command & Control (C2). C’est un peu la double peine pour les victimes car ils doivent non seulement payer pour récupérer leurs données (chose pour laquelle ils peuvent se passer s’ils ont des sauvegardes) mais également pour que leurs données volées ne soient pas divulguées (chose pour laquelle ils ne peuvent rien faire à part payer).
Le sous-traitant en question est un sous-traitant informatique de la NASA nommé Digital Management LLC Inc. (DMI) qui est une importante entreprise du Maryland (Etats-Unis) qui fournit des services informatiques et de cybersécurité.
Comme preuve de leurs exactions, les opérateurs de DopplePaymer ont mis en ligne une archive de 20 fichiers sur leur serveur web ce qui prouve bien qu’ils ont réellement infiltré l’infrastructure et les serveurs de DMI qui possède des données de la NASA.
Comme autre victime de DoppelPaymer en France, on peut citer Bretagne Télécom.
Quelle va être la réaction de la NASA ? Le feuilleton est à suivre …
