Pemex

 

 

 

 

 

 

 

Pemex, Petróleos Mexicanos, la empresa petrolera pública de México, sufrió un ataque de ransomware DoppelPaymer.

 

El ataque de ransomware a Pemex:

 

El ataque de DoppelPaymer a Pemex se organizó el domingo 10 de noviembre y afectó, según la empresa, al 5% de los ordenadores de la compañía.

 

El lunes, los empleados fueron advertidos de la necesidad de no encender sus ordenadores ni conectarse a través de la red wifi móvil, mientras analizaban el impacto del ataque sufrido.

 

En un comunicado publicado a través de Twitter, Pemex informó de que el suministro y la extracción de combustible, no tenían afectaciones como consecuencia del ataque.

 

Pemex, añadió que “al igual que todas las grandes empresas e instituciones gubernamentales y financieras, nacionales e internacionales, reciben con frecuencia amenazas y ataques cibernéticas que al día de hoy no han prosperado”.

 

Pemex_comunicado

 

Pemex fue atacada con una infección de ransomware DoppelPaymer, como puede verse en la captura de pantalla de la nota de rescate compartida con BleepingComputer.

 

Pemex_Bleeping

 

En la siguiente nota de pago del rescate, Pemex es identificada como la victima del ataque:

 

Pemex_secuestro

 

Ransomware DoppelPayer:

 

Según investigaciones de especialistas, Pemex probablemente fue blanco de una infección inicial del troyano Emotet  que elimino el malware Dridex, proporcionando el  acceso a la red a los actores de DoppelPayer que habrían utilizado Cobalt Strike y PowerShell Empire para expandir el ransomware por el resto de la red de Pemex.

 

DoppelPaymer es un ransomware, que forma parte de la familia BitPaymer.

 

Funciona de forma que un grupo de ciberatacantes penetra en la red de una empresa, secuestrando, tomando el control de los equipos informáticos para posteriormente denegar el acceso a ellos hasta el pago del rescate para desencriptar la información, restableciendo así los sistemas.

 

DoppelPaymer tiene al menos ocho variantes que extendieron su conjunto de características gradualmente; la primera de ellas fue localizada el pasado mes de abril, se trata de un ransomware, de origen ruso, dirigido a usuarios de habla inglesa.

 

Pemex, ¿ha pagado el rescate?

 

La cantidad de rescate solicitado a Pemex para la recuperación de sus sistemas, y la desencriptación de la información, fue de 565 BTC x 7100 €, da la friolera cifra de 4.153.500 € al cambio de hoy:

 

Pemex_rescate

 

Los atacantes, además de la solicitud del rescate, que debía ser abonado en 48 horas, amenazaron a Pemex con la publicación de la información sustraída con el objetivo de causar daños a su reputación comercial:

 

«Además, hemos reunido todos sus datos confidenciales privados.

Entonces, si decide no pagar, lo compartiríamos.

Puede dañar su reputación comercial.”

 

Según los investigadores, el sitio de pago DoppelPaymer, en Tor, ofrece una función de chat donde las víctimas pueden obtener soporte o negociar con los desarrolladores de ransomware.

 

Este chat en línea está vacío, lo que indica que Pemex no intentó usarlo para discutir el rescate con los atacantes.

 

La secretaria de Energía de México, aseguró que Pemex no realizaría el pago del rescate para liberar sus sistemas.

 

Teniendo en cuenta que no existe información en el chat de DoppelPaymer, es de suponer que Pemex restableció sus sistemas desconectando los equipos y reinstalando de nuevo los sistemas, aunque ello no es garantía de estar a salvo ante un nuevo ataque.

 

Pemex no ha actualizado la información sobre las consecuencias producidas por el ataque pero según información proporcionada por algunos empleados, a los que no se permite hablar con la prensa, los sistemas no se han recuperado en su totalidad.

 

La conexión a internet es limitada, existen dificultades en el uso del correo electrónico y el aceso a información corporativa no esta disponible  con normalidad.

 

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Share This