墨西哥國有石油公司Pemex遭受了DoppelPaymer勒索軟體攻擊,要求解密檔案以490萬美元(約合3400萬人民幣)進行解密。
11月10日,星期日,Pemex遭受勒索軟體攻擊,該公司稱受影響的計算機不足5%。但是,工人報告說,內部備忘錄告訴他們最初不要開啟計算機,而是在星期一的第二天重新啟動並執行。
在後來發布到Twitter的宣告中,Pemex宣告他們運轉正常,並且對其燃料生產,供應和庫存沒有影響。
Pemex正常執行
*運營和生產系統正常執行
*保證庫存和燃料供應
*石油社群和社會應無視損害公司形象的謠言。
面對關於社會媒體對Petroleos Mexicanos的內部計算機系統的攻擊的偽造謠言和公報,註釋和評論,該公司報告了以下內容:
Petroleos Mexicanos正常執行。公司的運營和生產系統並未受到損害,並受到保護。
像所有主要公司和政府機構以及金融,國家和國際組織一樣,Pemex的內部網路通常是網路威脅和攻擊的目標,而這些威脅和攻擊至今尚未成功。
昨天(11月10日星期日),該州的生產公司成為未遂攻擊的目標,這些攻擊已被及時消除,影響不到5%的個人計算機裝置的功能。
但是,Pemex重申燃料生產,供應和庫存是安全的。
Pemex改善了其計算機系統的安全性,並鼓勵/推薦石油界和社會成員忽略對公司形象造成損害的謠言。
被DoppelPaymer Ransomware擊中
儘管最初報導稱Pemex受Ryuk勒索軟體的影響,但洩漏的贖金記錄和Tor付款站點證實這是DoppelPaymer感染,這是BitPaymer勒索軟體的分支。
在安全研究員Pollo與BleepingComputer共享的洩露勒索記錄的螢幕快照中,我們能夠清楚地將勒索軟體標識為DoppelPaymer。雖然贖金記錄與BitPaymer贖金記錄有很多相似之處,但您可以看到它包含 DATA 部分,這是DoppelPaymer獨有的。
Pemex DoppelPaymer贖金票據
儘管贖金記錄未註明公司名稱,但熟悉此事的訊息人士共享了完整的Tor付款站點URL,該站點將Pemex識別為受害者。
Pemex的Tor付款網站
安全研究人員MalwareHunterTeam和Vitali Kremez也能夠找到用於Pemex攻擊的惡意軟體樣本,這進一步證實了DoppelPaymer感染。
Kremez說,Pemex可能是受Emotet Trojan的最初感染所針對,然後又刪除了Dridex惡意軟體。
最終,這將為DoppelPayer參與者提供網路訪問許可權,然後他們將使用Cobalt Strike和PowerShell Empire將勒索軟體橫向傳播到網路的其餘部分。
攻擊者要求贖金490萬美元
在受害者可以使用Tor付款站點的情況下,我們可以看到DoppelPaymer集團要求以目前的價格購買565比特幣,或4,899,295.80美元。
Pemex贖金需求為565個比特幣
DoppelPaymer付款網站提供了聊天功能,受害者可以在其中獲得支援或與勒索軟體開發人員進行談判。
此線上聊天為空,這表明Pemex並未嘗試使用它與攻擊者討論贖金。