Hace ocho días, Pemex fue víctima del ransomware DoppelPaymer vinculado al mismo grupo que estaba detrás de Dridex y BitPaymer. La petrolera, con una facturación de 120.000 millones de dólares, aseguró que los atacantes exigieron un pago de 565 bitcoins, lo que equivale a alrededor de cinco millones de dólares. En respuesta, se vio obligada a cerrar varios sistemas de TI, pero se negó a pagar durante el plazo de las 48 horas exigidas por los atacantes.
Hasta ahora, Pemex se ha negado a confirmar o negar los informes
Según Reuters, que afirma haber visto evidencias dentro de la compañía, Pemex fue atacado con el ransomware DoppelPaymer, un tenedor del ransomware BitPaymer catalogado por la firma de seguridad CrowdStrike en julio de este año. Entre las víctimas anteriores se encuentra el Ministerio de Agricultura de Chile.
Reuters también afirma haber mantenido contactos con el grupo que está detrás del malware. Afirmaron que Pemex no cumplió el plazo para el “precio especial” para el pago rápido, pero agregaron que se había establecido un nuevo plazo.
Tanto BitPaymer como DoppelPaymer están vinculados al mismo grupo que estaba detrás de la red criminal GameOver Zeus, los responsables del popular ransomware Dridex.
Según CrowdStrike, DoppelPaymer comparte la mayor parte de su código con BitPaymer y es el trabajo de un grupo llamado Indrik Spider. Este grupo fue formado en 2014 por ex afiliados de la red criminal GameOver Zeus, que prefirieron referirse a sí mismos como ‘The Business Club’.
“Las primeras versiones de Dridex eran primitivas, pero a lo largo de los años el malware se volvió cada vez más profesional y sofisticado. De hecho, las operaciones de Dridex fueron significativas durante 2015 y 2016, lo que la convierte en una de las familias de malware eCrime más frecuentes”, señala CrowdStrike.
Indrik Spider, agrega CrowdStrike, había sido afectado por una operación policial del Reino Unido en 2015 y 2016 que condujo al arresto y condena de un empleado del banco Barclays que había estado ayudando al grupo con el lavado de dinero. Eso siguió a una campaña del grupo, que se cree tiene su sede en Rusia, que se había dirigido a bancos e instituciones financieras británicas.
BitPaymer se identificó por primera vez en agosto de 2017, pero desde julio de 2018, el grupo ha cambiado sus tácticas de exigir un pago de bitcoin por adelantado a simplemente proporcionar dos direcciones de correo electrónico a través de las cuales negocia con las víctimas.