Investigadores de seguridad informática MalwareHunterTeam, así como el especialista estadunidense Vitali Kremez, dieron a conocer ayer que Petróleos Mexicanos fue “atacado” exitosamente por un ransomware tipo DoppelPaymer, que es una rama del ransomware BitPaymer.
Los expertos en ciberseguridad aseguran que las notas de rescate filtradas en la llamada Deep Web, confirmaron el “ataque” exitoso y que, aunque la nota de rescate no indica el nombre de la empresa, una fuente familiarizada con el asunto compartió la URL completa del sitio de pago Tor con la compañía BleepingComputer, que identifica a Pemex como la víctima.
“El grupo que usó el ransomware DoppelPaymer exigió 565 bitcoins, o 4.9 millones de dólares a los precios de hoy de la criptomoneda. Vale señalar que el sitio de pago DoppelPaymer ofrece una función de chat donde una víctima puede obtener soporte o negociar con los desarrolladores de ransomware. Este chat en línea está vacío, lo que indica que Pemex no intentó usarlo para discutir el rescate con los atacantes, quienes le dieron 48 horas o después nada sería negociable. Esto es extraño”, comentaron los especialistas.
Pemex afirmó en pasado lunes por la noche que si fueron ciberatacados el domingo 10 de noviembre, pero que se afectó sólo el cinco por ciento de sus equipos, y que estaban operando normalmente y no hubo ningún efecto en su producción de combustible, suministro e inventario.
En algunas capturas de pantalla, los atacantes, de los cuales aún se desconoce su nacionalidad o desde donde operan, se muestran sus mensajes donde se advierte que la petrolera mexicana tiene 14 días para pagar, o se borrará el link donde se encuentra la llave de desencriptación del ransomware, y ya no podrán recuperar los archivos.
El área de TI de la petrolera confirmó lo anterior, y seguían los esfuerzos por respaldar la información de entre nueve mil y 12 mil equipos que con sólo prenderlos activaban el virus que encriptaba automáticamente la información. Además, se dio a conocer que ya había solicitud de los criminales de un pago de rescate (sin revelarse la cantidad) en criptomonedas, para liberar parte del sistema que había sido secuestrado por un ransomware.