11月10日,墨西哥国有石油公司Pemex遭受到勒索软件攻击,被索要490万美元的赎金。
不过Pemex表示,只有不到5%的电脑受到了影响。不过根据内部备忘录的说法,要求所有员工切勿打开电脑,在本周晚些时候再重新开机。
在随后的推特声明中,Pemex表示他们的运作一切正常,燃料生产、供应和库存没有受到影响。
尽管最初有报道称,Pemex受到了Ryuk勒索软件的影响,但泄露出的赎金信息和Tor付款网站都证实这是DoppelPaymer勒索软件,属于BitPaymer勒索软件的变种。
在安全研究人员Pollo分享的赎金信息截图中,我们可以清楚地识别出DoppelPaymer,这也和BitPaymer的赎金信息非常相似。
尽管赎金通知没有指出受害者名字,但一位知情人士将Tor付款网站的完整网址分享给了BleepingComputer,从而确定认定Pemex是受害者。
安全研究人员MalwareHunterTeam和Vitali Kremez也找到了在此次攻击中涉及的恶意软件样本,进一步证实了DoppelPaymer的存在。
Kremez告诉BleepingComputer,Pemex可能最初被Emotet木马所感染,随后被释放了Dridex恶意软件。
这为DoppelPayer的感染铺平了道路,随后攻击者会使用Cobalt Strike和PowerShell Empire在内部网络横向传播勒索软件。
490万美元的赎金通过访问Tor付款网站,我们可以看到赎金为565个比特币,约合4899295.80美元。
此外这个DoppelPaymer付款网站还提供了聊天功能,受害者可以和攻击者进行交流。
不过目前聊天记录为空,这表明墨西哥国家石油公司并不想和攻击者讨价还价。