墨西哥国有石油公司Pemex遭受勒索软件攻击，被索要490万美元

来源：NOSEC 2019.11.14

11月10日，墨西哥国有石油公司Pemex遭受到勒索软件攻击，被索要490万美元的赎金。

不过Pemex表示，只有不到5%的电脑受到了影响。不过根据内部备忘录的说法，要求所有员工切勿打开电脑，在本周晚些时候再重新开机。

在随后的推特声明中，Pemex表示他们的运作一切正常，燃料生产、供应和库存没有受到影响。

DoppelPaymer勒索软件

尽管最初有报道称，Pemex受到了Ryuk勒索软件的影响，但泄露出的赎金信息和Tor付款网站都证实这是DoppelPaymer勒索软件，属于BitPaymer勒索软件的变种。

在安全研究人员Pollo分享的赎金信息截图中，我们可以清楚地识别出DoppelPaymer，这也和BitPaymer的赎金信息非常相似。

尽管赎金通知没有指出受害者名字，但一位知情人士将Tor付款网站的完整网址分享给了BleepingComputer，从而确定认定Pemex是受害者。

安全研究人员MalwareHunterTeam和Vitali Kremez也找到了在此次攻击中涉及的恶意软件样本，进一步证实了DoppelPaymer的存在。

Kremez告诉BleepingComputer，Pemex可能最初被Emotet木马所感染，随后被释放了Dridex恶意软件。

这为DoppelPayer的感染铺平了道路，随后攻击者会使用Cobalt Strike和PowerShell Empire在内部网络横向传播勒索软件。

通过访问Tor付款网站，我们可以看到赎金为565个比特币，约合4899295.80美元。

此外这个DoppelPaymer付款网站还提供了聊天功能，受害者可以和攻击者进行交流。

不过目前聊天记录为空，这表明墨西哥国家石油公司并不想和攻击者讨价还价。