Los investigadores de seguridad informática MalwareHunterTeam, así como el especialista estadunidense Vitali Kremez, dieron a conocer ayer que Petróleos Mexicanos fue “atacado” exitosamente por un ransomware tipo DoppelPaymer, que es una rama del ransomware BitPaymer.
Los expertos en ciberseguridad aseguran que las notas de rescate filtradas en la llamada Deep Web, confirmaron el “ataque” exitoso y que, aunque la nota de rescate no indica el nombre de la empresa, una fuente familiarizada con el asunto compartió la URL completa del sitio de pago Tor con la compañía BleepingComputer, que identifica a Pemex como la víctima.
De manera técnica, Kremez comentó que Pemex probablemente fue blanco de una infección inicial con un troyano llamado Emotet, que eventualmente proporcionó acceso a la red de la paraestatal a los criminales que colocaron el ransomware DoppelPayer, y que luego habrían utilizado otros virus como Cobalt Strike y PowerShell Empire para difundir el ransomware por el resto de la red. Aunque no se descarta que el “ataque” haya sido interno por motivos aún desconocidos.
Los especialistas aseguraron que tuvieron acceso al sitio de pago a través de la plataforma Tor, que se usa para entrar a la Deep Web, donde fueron testigos del mensaje a la víctima (Pemex).
“Pudimos ver que el grupo que usó el ransomware DoppelPaymer exigió 565 bitcoins, o 4.9 millones de dólares a los precios de hoy de la criptomoneda. Vale señalar que el sitio de pago DoppelPaymer ofrece una función de chat donde una víctima puede obtener soporte o negociar con los desarrolladores de ransomware. Este chat en línea está vacío, lo que indica que Pemex no intentó usarlo para discutir el rescate con los atacantes, quienes le dieron 48 horas o después nada sería negociable. Esto es extraño”, comentaron los especialistas.
(Excélsior)
