墨西哥國企石油公司Pemex Oil遭受勒索軟體攻擊，勒索3400萬美元

​墨西哥國有石油公司Pemex遭受了DoppelPaymer勒索軟體攻擊，駭客提出以490萬美元（約合3400萬人民幣）進行檔案解密。

11月10日，星期日，Pemex遭受勒索軟體攻擊，該公司稱受影響的計算機不足5％。但是，工人報告說，內部備忘錄告訴他們最初不要開啟計算機，而是在星期一的第二天重新啟動並執行。

在後來發布到Twitter的宣告中，Pemex宣告他們運轉正常，並且對其燃料生產，供應和庫存沒有影響。

Pemex正常執行

*運營和生產系統正常執行

*保證庫存和燃料供應

*石油社群和社會應無視損害公司形象的謠言。

面對關於社會媒體對Petroleos Mexicanos的內部計算機系統的攻擊的偽造謠言和公報，註釋和評論，該公司報告了以下內容：

Petroleos Mexicanos正常執行。公司的運營和生產系統並未受到損害，並受到保護。

像所有主要公司和政府機構以及金融，國家和國際組織一樣，Pemex的內部網路通常是網路威脅和攻擊的目標，而這些威脅和攻擊至今尚未成功。

昨天（11月10日星期日），該州的生產公司成為未遂攻擊的目標，這些攻擊已被及時消除，影響不到5％的個人計算機裝置的功能。

但是，Pemex重申燃料生產，供應和庫存是安全的。

Pemex改善了其計算機系統的安全性，並鼓勵/推薦石油界和社會成員忽略對公司形象造成損害的謠言。

被DoppelPaymer Ransomware擊中

儘管最初報導稱Pemex受Ryuk勒索軟體的影響，但洩漏的贖金記錄和Tor付款站點證實這是DoppelPaymer感染，這是BitPaymer勒索軟體的分支。

在安全研究員Pollo與BleepingComputer共享的洩露勒索記錄的螢幕快照中，我們能夠清楚地將勒索軟體標識為DoppelPaymer。雖然贖金記錄與BitPaymer贖金記錄有很多相似之處，但您可以看到它包含  DATA  部分，這是DoppelPaymer獨有的。

Pemex DoppelPaymer贖金票據

儘管贖金記錄未註明公司名稱，但熟悉此事的訊息人士共享了完整的Tor付款站點URL，該站點將Pemex識別為受害者。

Pemex的Tor付款網站

安全研究人員MalwareHunterTeam和Vitali Kremez也能夠找到用於Pemex攻擊的惡意軟體樣本，這進一步證實了DoppelPaymer感染。

Kremez說，Pemex可能是受Emotet Trojan的最初感染所針對，然後又刪除了Dridex惡意軟體。

最終，這將為DoppelPayer參與者提供網路訪問許可權，然後他們將使用Cobalt Strike和PowerShell Empire將勒索軟體橫向傳播到網路的其餘部分。

攻擊者要求贖金490萬美元

在受害者可以使用Tor付款站點的情況下，我們可以看到DoppelPaymer集團要求以目前的價格購買565比特幣，或4,899,295.80美元。

Pemex贖金需求為565個比特幣

DoppelPaymer付款網站提供了聊天功能，受害者可以在其中獲得支援或與勒索軟體開發人員進行談判。

此線上聊天為空，這表明Pemex並未嘗試使用它與攻擊者討論贖金。