Los investigadores de seguridad informática MalwareHunterTeam, así como el especialista estadunidense Vitali Kremez, dieron a conocer ayer que Petróleos Mexicanos fue “atacado” exitosamente por un ransomware tipo DoppelPaymer, que es una rama del ransomware BitPaymer.
Los expertos en ciberseguridad aseguran que las notas de rescate filtradas en la llamada Deep Web, confirmaron el “ataque” exitoso y que, aunque la nota de rescate no indica el nombre de la empresa, una fuente familiarizada con el asunto compartió la URL completa del sitio de pago Tor con la compañía BleepingComputer, que identifica a Pemex como la víctima.
De manera técnica, Kremez comentó que Pemex probablemente fue blanco de una infección inicial con un troyano llamado Emotet, que eventualmente proporcionó acceso a la red de la paraestatal a los criminales que colocaron el ransomware DoppelPayer, y que luego habrían utilizado otros virus como Cobalt Strike y PowerShell Empire para difundir el ransomware por el resto de la red. Aunque no se descarta que el “ataque” haya sido interno por motivos aún desconocidos.
Los especialistas aseguraron que tuvieron acceso al sitio de pago a través de la plataforma Tor, que se usa para entrar a la Deep Web, donde fueron testigos del mensaje a la víctima (Pemex).
Pudimos ver que el grupo que usó el ransomware DoppelPaymer exigió 565 bitcoins, o 4.9 millones de dólares a los precios de hoy de la criptomoneda. Vale señalar que el sitio de pago DoppelPaymer ofrece una función de chat donde una víctima puede obtener soporte o negociar con los desarrolladores de ransomware. Este chat en línea está vacío, lo que indica que Pemex no intentó usarlo para discutir el rescate con los atacantes, quienes le dieron 48 horas o después nada sería negociable. Esto es extraño”, comentaron los especialistas.
SI HAY PROBLEMAS
En un comunicado, Pemex afirmó en pasado lunes por la noche que si fueron ciberatacados el domingo 10 de noviembre, pero que se afectó sólo el cinco por ciento de sus equipos, y que estaban operando normalmente y no hubo ningún efecto en su producción de combustible, suministro e inventario.
Si bien los informes inicialmente indicaron que Pemex se vio afectado por el Ryuk Ransomware, los especialistas informaron que se trataba de la infección DoppelPaymer, lo cual es muy riesgoso, pues su propagación es inmediata en los equipos y servidores donde se instala.
En algunas capturas de pantalla, los atacantes, de los cuales aún se desconoce su nacionalidad o desde donde operan, se muestran sus mensajes donde se advierte que la petrolera mexicana tiene 14 días para pagar, o se borrará el link donde se encuentra la llave de desencriptación del ransomware, y ya no podrán recuperar los archivos. Al cierre de la edición no se pudo tener respuesta de Pemex respecto al posible pago a los ciberdelincuentes.
¿CÓMO SE REALIZA EL ATAQUE?
Primero comprometen una computadora.
Desde ella, el cibercriminal hace un reconocimiento de la red.
Efectúa movimientos laterales, mediante los cuales se van desplazando a otros equipos conectados a la red.
Lanza un ataque sincronizado infectando todos los sistemas a los que ha tenido acceso.
LA ASF YA HABÍA ADVERTIDO EL RIESGO
Las empresas Tecnologías de Información América, Asesorías Integrales TI (TI América), Soluciones Integrales Saynet en conjunto con las filiales de Televisa, Operbes y Servicios OPERBES son quienes debieron prevenir y detectar el ciberataque que pasó el pasado fin de semana, donde se confirmó que Petróleos Mexicanos (Pemex) fue vulnerado por cibercriminales, y que comprometió cinco por ciento de sus equipos computacionales.
En un documento emitido en junio pasado, la Auditoria Superior de la Federación (ASF) ya advertía a la petrolera que no todos sus equipos estaban asegurados contra los ataques cibernéticos, y que incluso las empresas que administran y monitorean los servicios de “Comunicación Segura” tenían acceso a información crítica.
A través de sus herramientas puede interceptar, extraer y almacenar información sensible, también tiene conocimiento del origen y destino de los datos, así como del remitente y destinatario”, señaló la ASF a la empresa.
A ello se le suma que la infraestructura informática quedó expuesta, porque desde diciembre la administración de la petrolera dejó de pagar a las empresas encargadas del blindaje de seguridad, como se mencionó ayer en estas páginas.
El área de TI de la petrolera confirmó lo anterior, y ayer por la mañana seguían los esfuerzos por respaldar la información de entre nueve mil y 12 mil equipos que con sólo prenderlos activaban el virus que encriptaba automáticamente la información. Además, se dio a conocer que ya había solicitud de los criminales de un pago de rescate (sin revelarse la cantidad) en criptomonedas, para liberar parte del sistema que había sido secuestrado por un ransomware.