墨西哥国企石油公司Pemex Oil遭受勒索软件攻击,勒索3400万美元

发布者:zx_763821
发布于:2019-11-13 11:12

​墨西哥国有石油公司Pemex遭受了DoppelPaymer勒索软件攻击,黑客提出以490万美元(约合3400万人民币)进行文件解密。



11月10日,星期日,Pemex遭受勒索软件攻击,该公司称受影响的计算机不足5%。但是,工人报告说,内部备忘录告诉他们最初不要打开计算机,而是在星期一的第二天重新启动并运行。


在后来发布到Twitter的声明中,Pemex声明他们运转正常,并且对其燃料生产,供应和库存没有影响。


Pemex正常运行


*运营和生产系统正常运行

*保证库存和燃料供应

*石油社区和社会应无视损害公司形象的谣言。



面对关于社会媒体对Petroleos Mexicanos的内部计算机系统的攻击的伪造谣言和公报,注释和评论,该公司报告了以下内容:


Petroleos Mexicanos正常运行。公司的运营和生产系统并未受到损害,并受到保护。


像所有主要公司和政府机构以及金融,国家和国际组织一样,Pemex的内部网络通常是网络威胁和攻击的目标,而这些威胁和攻击至今尚未成功。


昨天(11月10日星期日),该州的生产公司成为未遂攻击的目标,这些攻击已被及时消除,影响不到5%的个人计算机设备的功能。


但是,Pemex重申燃料生产,供应和库存是安全的。

Pemex改善了其计算机系统的安全性,并鼓励/推荐石油界和社会成员忽略对公司形象造成损害的谣言。


被DoppelPaymer Ransomware击中

尽管最初报道称Pemex受Ryuk勒索软件的影响,但泄漏的赎金记录和Tor付款站点证实这是DoppelPaymer感染,这是BitPaymer勒索软件的分支。


在安全研究员Pollo与BleepingComputer共享的泄露勒索记录的屏幕快照中,我们能够清楚地将勒索软件标识为DoppelPaymer。虽然赎金记录与BitPaymer赎金记录有很多相似之处,但您可以看到它包含  DATA  部分,这是DoppelPaymer独有的。


Pemex DoppelPaymer赎金票据


尽管赎金记录未注明公司名称,但熟悉此事的消息人士共享了完整的Tor付款站点URL,该站点将Pemex识别为受害者。


Pemex的Tor付款网站


安全研究人员MalwareHunterTeam和Vitali Kremez也能够找到用于Pemex攻击的恶意软件样本,这进一步证实了DoppelPaymer感染。



Kremez说,Pemex可能是受Emotet Trojan的最初感染所针对,然后又删除了Dridex恶意软件。


最终,这将为DoppelPayer参与者提供网络访问权限,然后他们将使用Cobalt Strike和PowerShell Empire将勒索软件横向传播到网络的其余部分。


攻击者要求赎金490万美元

在受害者可以使用Tor付款站点的情况下,我们可以看到DoppelPaymer集团要求以目前的价格购买565比特币,或4,899,295.80美元。


Pemex赎金需求为565个比特币


DoppelPaymer付款网站提供了聊天功能,受害者可以在其中获得支持或与勒索软件开发人员进行谈判。


此在线聊天为空,这表明Pemex并未尝试使用它与攻击者讨论赎金。



 
微信搜索关注红数位
混迹安全圈,每日必看!

声明:该文观点仅代表作者本人,转载请注明来自看雪