墨西哥國企石油公司Pemex Oil遭受勒索軟體攻擊,勒索3400萬美元

紅數位發表於2019-11-13

​墨西哥國有石油公司Pemex遭受了DoppelPaymer勒索軟體攻擊,要求解密檔案以490萬美元(約合3400萬人民幣)進行解密。


墨西哥國企石油公司Pemex Oil遭受勒索軟體攻擊,勒索3400萬美元


11月10日,星期日,Pemex遭受勒索軟體攻擊,該公司稱受影響的計算機不足5%。但是,工人報告說,內部備忘錄告訴他們最初不要開啟計算機,而是在星期一的第二天重新啟動並執行。


在後來發布到Twitter的宣告中,Pemex宣告他們運轉正常,並且對其燃料生產,供應和庫存沒有影響。


墨西哥國企石油公司Pemex Oil遭受勒索軟體攻擊,勒索3400萬美元

Pemex正常執行


*運營和生產系統正常執行

*保證庫存和燃料供應

*石油社群和社會應無視損害公司形象的謠言。


墨西哥國企石油公司Pemex Oil遭受勒索軟體攻擊,勒索3400萬美元


面對關於社會媒體對Petroleos Mexicanos的內部計算機系統的攻擊的偽造謠言和公報,註釋和評論,該公司報告了以下內容:


Petroleos Mexicanos正常執行。公司的運營和生產系統並未受到損害,並受到保護。


像所有主要公司和政府機構以及金融,國家和國際組織一樣,Pemex的內部網路通常是網路威脅和攻擊的目標,而這些威脅和攻擊至今尚未成功。


昨天(11月10日星期日),該州的生產公司成為未遂攻擊的目標,這些攻擊已被及時消除,影響不到5%的個人計算機裝置的功能。


但是,Pemex重申燃料生產,供應和庫存是安全的。

Pemex改善了其計算機系統的安全性,並鼓勵/推薦石油界和社會成員忽略對公司形象造成損害的謠言。


被DoppelPaymer Ransomware擊中

儘管最初報導稱Pemex受Ryuk勒索軟體的影響,但洩漏的贖金記錄和Tor付款站點證實這是DoppelPaymer感染,這是BitPaymer勒索軟體的分支。


在安全研究員Pollo與BleepingComputer共享的洩露勒索記錄的螢幕快照中,我們能夠清楚地將勒索軟體標識為DoppelPaymer。雖然贖金記錄與BitPaymer贖金記錄有很多相似之處,但您可以看到它包含  DATA  部分,這是DoppelPaymer獨有的。


墨西哥國企石油公司Pemex Oil遭受勒索軟體攻擊,勒索3400萬美元

Pemex DoppelPaymer贖金票據


儘管贖金記錄未註明公司名稱,但熟悉此事的訊息人士共享了完整的Tor付款站點URL,該站點將Pemex識別為受害者。


墨西哥國企石油公司Pemex Oil遭受勒索軟體攻擊,勒索3400萬美元

Pemex的Tor付款網站


安全研究人員MalwareHunterTeam和Vitali Kremez也能夠找到用於Pemex攻擊的惡意軟體樣本,這進一步證實了DoppelPaymer感染。


墨西哥國企石油公司Pemex Oil遭受勒索軟體攻擊,勒索3400萬美元


Kremez說,Pemex可能是受Emotet Trojan的最初感染所針對,然後又刪除了Dridex惡意軟體。


最終,這將為DoppelPayer參與者提供網路訪問許可權,然後他們將使用Cobalt Strike和PowerShell Empire將勒索軟體橫向傳播到網路的其餘部分。


攻擊者要求贖金490萬美元

在受害者可以使用Tor付款站點的情況下,我們可以看到DoppelPaymer集團要求以目前的價格購買565比特幣,或4,899,295.80美元。


墨西哥國企石油公司Pemex Oil遭受勒索軟體攻擊,勒索3400萬美元

Pemex贖金需求為565個比特幣


DoppelPaymer付款網站提供了聊天功能,受害者可以在其中獲得支援或與勒索軟體開發人員進行談判。


此線上聊天為空,這表明Pemex並未嘗試使用它與攻擊者討論贖金。



墨西哥國企石油公司Pemex Oil遭受勒索軟體攻擊,勒索3400萬美元
墨西哥國企石油公司Pemex Oil遭受勒索軟體攻擊,勒索3400萬美元 
微信搜尋關注紅數位
混跡安全圈,每日必看!

相關文章