En un comunicado, Pemex confirmó este lunes que sufrió un ataque cibernético de Ransomware a nivel nacional durante el fin de semana.
El ataque de ransomware DoppelPaymer exigió $ 4.9 millones de dólares para descifrar sus archivos.
Pemex notificó a empleados, a través de correos electrónicos, que registró un incidente en un área de cómputo ubicada en el Estado de México, que consistió en la detección de un “ransomware” que podía bloquear sus pantallas y cifrar archivos importantes. “Este scareware ya está siendo atacado y se espera la solución en las próximas 48 horas”, decía el correo electrónico.
Un ransomware es un programa de software malicioso que infecta computadoras o dispositivos móviles y que muestra mensajes que exigen el pago de dinero para restablecer el funcionamiento del sistema infectado.
Pemex opera con normalidad:
Si bien los informes inicialmente indicaron que Pemex se vio afectado por el Ryuk Ransomware, las notas de rescate filtradas y el sitio de pago de Tor confirman que se trataba de la infección DoppelPaymer, que es una rama del ransomware BitPaymer.
Los investigadores de seguridad MalwareHunterTeam y Vitali Kremez también pudieron encontrar la muestra de malware utilizada en el ataque de Pemex, lo que confirma aún más la infección DoppelPaymer.
Kremez le dijo a BleepingComputer en conversaciones que Pemex probablemente fue blanco de una infección inicial del troyano Emotet , que luego eliminó el malware Dridex.
Los atacantes exigieron un rescate de $ 4.9 millones
Con acceso al sitio de pago Tor para la víctima, podemos ver que el grupo DoppelPaymer exigió 565 bitcoins, o $ 4,899,295.80 USD a los precios de hoy.
El sitio de pago DoppelPaymer ofrece una función de chat donde una víctima puede obtener soporte o negociar con los desarrolladores de ransomware.
Este chat en línea está vacío, lo que indica que Pemex no intentó usarlo para discutir el rescate con los atacantes.
“Es importante mencionar que este incidente tiene carácter nacional, por lo que recomendamos a todos los usuarios no encender sus equipos el día de mañana lunes 11 de noviembre del presente año, hasta tanto no se hayan tomado las previsiones técnicas necesarias”, agregó la comunicación interna de Pemex.
A una solicitud de información de Reuters realizada el lunes, Pemex respondió: “Se está fortaleciendo nuestra seguridad informática ante justamente amenazas cibernéticas. Pemex opera con normalidad”.
Entre las recomendaciones que las áreas tecnológicas dieron a los empleados estaban no conectarse a una red hasta no tener supervisión de un especialista y hacer un respaldo de información del disco duro local.