Ransomware exige a Pemex 4,9 millones de dólares

El ataque dirigido hacia Petróleos Mexicanos (Pemex) comprometió el 5% de los equipos, pero la compañía aseguró que esto no afectó a sus sistemas y que opera con normalidad. Investigadores de seguridad Unidos descubrieron el tipo de ransomware y el reclamo de un pago de 565 bitcoins.

Los investigadores de MalwareHunterTeam, así como el especialista estadunidense Vitali Kremez, dieron a conocer ayer que Petróleos Mexicanos fue atacado por un ransomware tipo DoppelPaymer, que es una rama del ransomware BitPaymer.

Los expertos en ciberseguridad aseguran que las notas de rescate filtradas en Deep Web, confirmaron el ataque y que, aunque la nota de rescate no indica el nombre de la empresa, una fuente familiarizada con el asunto compartió la URL de Tor, identificando a Pemex como la víctima.

De manera técnica, Kremez comentó que Pemex probablemente fue blanco de una infección inicial con un troyano llamado Emotet, que eventualmente proporcionó acceso a la red de la paraestatal a los criminales que colocaron el ransomware DoppelPayer, y que luego habrían utilizado otros troyanos como Cobalt Strike y PowerShell Empire para difundir el ransomware por el resto de la red. Aunque no se descarta que el “ataque” haya sido interno por motivos aún desconocidos.

Los especialistas aseguraron que tuvieron acceso al sitio de pago a través de la plataforma Tor, que se usa para entrar a la Deep Web, donde fueron testigos del mensaje a la víctima (Pemex).

Pudimos ver que el grupo que usó el ransomware DoppelPaymer exigió 565 bitcoins, o 4.9 millones de dólares a los precios de hoy de la criptomoneda. Vale señalar que el sitio de pago DoppelPaymer ofrece una función de chat donde una víctima puede obtener soporte o negociar con los desarrolladores de ransomware. Este chat en línea está vacío, lo que indica que Pemex no intentó usarlo para discutir el rescate con los atacantes, quienes le dieron 48 horas o después nada sería negociable. Esto es extraño”, comentaron los especialistas.

En un comunicado, Pemex afirmó en pasado lunes por la noche que si fueron ciberatacados el domingo 10 de noviembre, pero que se afectó sólo el cinco por ciento de sus equipos, y que estaban operando normalmente y no hubo ningún efecto en su producción de combustible, suministro e inventario.

En algunas capturas de pantalla, los atacantes, de los cuales aún se desconoce su nacionalidad o desde donde operan, se muestran sus mensajes donde se advierte que la petrolera mexicana tiene 14 días para pagar, o se borrará el enlace donde se encuentra la llave de cifrado del ransomware, y ya no podrán recuperar los archivos. Al cierre de la edición no se pudo tener respuesta de Pemex respecto al posible pago a los ciberdelincuentes.

Fuente: Excelsior