石油巨頭 Pemex 遭勒索 500 萬美元 被迫關停多個IT系統

2019-11-19 16:17:36

勒索軟件為 DoppelPaymer,與 Dridex 和 BitPaymer 背后的黑客組織有關。

Pemex 是世界最大石油公司之一,日前淪為勒索軟件攻擊受害者。

這家營業額 1,200 億美元的墨西哥石油巨頭表示,攻擊者索要 565 個比特幣,相當于約 500 萬美元。周末時該公司被迫關停境內許多 IT 系統,但拒絕按攻擊者的要求在 48 小時內支付贖金。

截止目前,Pemex 既沒證實也沒否認相關報道。

路透社宣稱掌握來自該公司內部的證據,表示 Pemex 遭遇了 DoppelPaymer 勒索軟件襲擊。該勒索軟件是安全公司 CrowdStrike 于今年 7 月 發現的 BitPaymer 勒索軟件的分支。之前的受害者包括智利農業部。

路透社還宣稱已與該惡意軟件背后的黑客團伙取得了聯系。他們表示,Pemex 錯過了立即支付享有的 “特價” 時限,但又設置了一個新的支付截止期。

BitPaymer 和 DoppelPaymer 都與 GameOver Zeus 犯罪網絡背后的組織相關,正是這個組織開發了臭名昭著的 Dridex 勒索軟件。

CrowdStrike 透露,DoppelPaymer 的代碼與 BitPaymer 基本相同,是所謂 Indrik Spider 黑客團伙的杰作。該團伙于 2014 年由 GameOver Zeus 犯罪網絡的前分支機構組建,喜歡自稱 “商業俱樂部 (The Business Club) ”。

CrowdStrike 指出:Dridex 早期版本很原始,但這幾年來該惡意軟件變得越來越專業和復雜。事實上,Dridex 攻擊活動在 2015 和 2016 年里非?;鈐?,已成最為普遍的電子犯罪惡意軟件家族。

2015 年和 2016 年,英國在一次執法行動中逮捕了巴克萊銀行一名協助該團伙洗錢的員工,Indrik Spider 由此受到影響。

該團伙據傳說位于俄羅斯,此前針對英國銀行和金融機構發起了攻擊。

BitPaymer 最初發現于 2017 年 8 月,但自 2018 年 7 月起,該團伙就將其戰術從索要比特幣贖金,轉向了單純提供兩個電子郵件地址供與受害者談判使用。

CrowdStrike 表示,DoppelPaymer 背后的團伙采用了類似的策略,只是用了通向基于 Tor 支付門戶的 URL 而已。

也有報告稱 Dridex 和多起電子商務網站支付門戶攻擊事件背后的 Magecart Group 5 有關。