Los investigadores de seguridad informática MalwareHunterTeam, así como el especialista estadunidense Vitali Kremez, dieron a conocer ayer que Petróleos Mexicanos fue “atacado” exitosamente por un ransomware tipo DoppelPaymer, que es una rama del ransomware BitPaymer.
Los expertos en ciberseguridad aseguran que las notas de rescate filtradas en la llamada Deep Web, confirmaron el “ataque” exitoso y que, aunque la nota de rescate no indica el nombre de la empresa, una fuente familiarizada con el asunto compartió la URL completa del sitio de pago Tor con la compañía BleepingComputer, que identifica a Pemex como la víctima.
De manera técnica, Kremez comentó que Pemex probablemente fue blanco de una infección inicial con un troyano llamado Emotet, que eventualmente proporcionó acceso a la red de la paraestatal a los criminales que colocaron el ransomware DoppelPayer, y que luego habrían utilizado otros virus como Cobalt Strike y PowerShell Empire para difundir el ransomware por el resto de la red. Aunque no se descarta que el “ataque” haya sido interno por motivos aún desconocidos.
Los especialistas aseguraron que tuvieron acceso al sitio de pago a través de la plataforma Tor, que se usa para entrar a la Deep Web, donde fueron testigos del mensaje a la víctima (Pemex).
“Pudimos ver que el grupo que usó el ransomware DoppelPaymer exigió 565 bitcoins, o 4.9 millones de dólares a los precios de hoy de la criptomoneda. Vale señalar que el sitio de pago DoppelPaymer ofrece una función de chat donde una víctima puede obtener soporte o negociar con los desarrolladores de ransomware. Este chat en línea está vacío, lo que indica que Pemex no intentó usarlo para discutir el rescate con los atacantes, quienes le dieron 48 horas o después nada sería negociable. Esto es extraño”, comentaron los especialistas.
En un comunicado, Pemex afirmó en pasado lunes por la noche que si fueron ciberatacados el domingo 10 de noviembre, pero que se afectó sólo el cinco por ciento de sus equipos, y que estaban operando normalmente y no hubo ningún efecto en su producción de combustible, suministro e inventario.
Si bien los informes inicialmente indicaron que Pemex se vio afectado por el Ryuk Ransomware, los especialistas informaron que se trataba de la infección DoppelPaymer, lo cual es muy riesgoso, pues su propagación es inmediata en los equipos y servidores donde se instala.
En algunas capturas de pantalla, los atacantes, de los cuales aún se desconoce su nacionalidad o desde donde operan, se muestran sus mensajes donde se advierte que la petrolera mexicana tiene 14 días para pagar, o se borrará el link donde se encuentra la llave de desencriptación del ransomware, y ya no podrán recuperar los archivos. Al cierre de la edición no se pudo tener respuesta de Pemex respecto al posible pago a los ciberdelincuentes.
Fuente: Excélsior
