باج افزاران شرکت نفت و گاز پیمکس Pemex را هدف قرار دادند

شرکت نفت و گاز دولتی پیمکس از حمله ی جدید باج افزاری رنج میبرد که خواهان 4.9 میلیون دلار جهت بازیابی فایل های رمز گذاری شده میباشد.

در روز یکشنبه، 10 نوامبر، سازمان توسط یک حمله ی باج افزار مورد هدف واقع شد که به گفته ی مدیران سازمان چیزی حدود 5 درصد از سیستم هایشان را شامل میشده است. کارکنان میگویند که به آنان گفته شده که موقتا سیستم هایشان را روشن نکنند.

در یک بیانیه ای که توسط این سازمان در توییتر عرضه شد. پیمکس عنوان کرد که روال کاری کاملا به صورت نرمال پیش میرود و این مسئله هیچ تاثیری بر روی ساختار نفتی، و تولیدات آنان نداشته است.

باج افزار DoppelPaymer

در حالی که گزارشات حاکی از آن هستند که این سازمان توسط باج افزار Ryuk مورد هدف واقع شده است، یادداشت های باج افزاری که از سیستم ها به دست رسیده است نشان میدهد که آلودگی DoppelPaymer میباشد.

در یک اسکرین شات از یاد داشت باج افزار که با محقق امنیتی ما به اشتراک گذاشته شده، مشخص شد که این باج افزار DoppelPaymer میباشد. در حالی که یادداشت این باج افزار شباهت های زیادی به BitPaymer دارد اما اگر دقت کنید دارای شناسه ی اطلاعاتی میباشد که انحصاری میباشد.

Pemex DoppelPaymer Ransom Note

با اینکه یادداشت باج افزار به نام سازمان اشاره ای نکرده است. یکی از منابع آشنا لینک پرداخت مرورگر تور را با ما به اشتراک گذاشته است که میتوان تشخیص داد مربوط به شرکت پیمکس است.

Tor Payment Site for Pemex

تیم امنیتی MalwareHunter و محقق امنیتی Vitali Kremz نیز توانستند نمونه ای از این آلودگی را پیدا کنند.

Tweet

به نظر میرسد مهاجمان این باج افزار از شیوه ی cobalt strike و  PowerShell empire برای پخش باج افزار در شبکه استفاده کردند.

باج گیران درخواست 4.9 میلیون دلار باج داشتند

با دسترسی به صفحه ی پرداخت تور برای قربانی، میتوان دید که باج گیران 565 بیت کوین یا به عبارتی 4.899.295 دلار را میخواهند.

Pemex Ransom Demand of 565 Bitcoins

صفحه ی پرداخت این باج افزار قابلیت چت آنلاین دارد تا قربانی بتواند همزمان با باج گیر صحبت و مذاکره کند. البته این چت خالی است که نشان میدهد سازمان پیمکس اقدام به استفاده از آن برای صحبت با مهاجمان نداشته است.

منبع: www.bleepingcomputer.com