TLP: White

Nivel de riesgo: [Alto]

Vector de ataque: Spear Phishing, red, acceso remoto
Impacto: Compromiso por ransomware, provocando el cifrado de archivos y unidades de red.

El 10 de noviembre de 2019, en redes sociales comenzaron a alertar sobre un probable incidente cibernético en Petróleos Mexicanos (PEMEX) derivado de una posible infección de ransomware. De acuerdo a los primeros reportes y análisis de especialistas en ciberseguridad la compañía petrolera habría sufrido un ataque de ransomware “DoppelPaymer”, diseñado para cifrar archivos y evitar que las víctimas accedan a ellos.

La paraestatal emitió un boletín oficial sobre la noticia respecto al ataque hasta el pasado 11 de noviembre del mismo año, donde detalló que el día 10 de noviembre de 2019, la empresa recibió intentos de ataques que fueron neutralizados oportunamente, sin embargo, se vieron afectados el 5% de los equipos de cómputo personales. Del mismo modo se expresa que la producción, abastecimiento e inventarios de combustible están garantizados. También se anunció que se reforzó la seguridad informática e invitó a la comunidad petrolera y a la sociedad a evitar rumores que dañan la imagen de la empresa, esto con referencia a la posibilidad de seguir infectados, lo que la empresa petrolera desmiente en su totalidad afirmando que todo opera con normalidad.

Cronología de los primeros tweets

10 de noviembre de 2019, a las 08:14 p.m., el usuario de Twitter Toño Leyva @_antonioleyva publicó “Un gran ataque cibernético a Pemex…. El ejército llega a las instalaciones. 👇”.

El 11 de noviembre de 2019, a las 08:27 a.m., el usuario de Twitter “El Siete Venas” a secas… @VAntunano publicó “Y al momento todas las computadoras en @Pemex muestran este mensaje…

A las 10:21 a.m. del 11 de noviembre, el usuario de Twitter Toño Leyva @_antonioleyva publicó “Así el mensaje de todos los archivos en las pantallas de las computadoras en las oficinas de #Pemex  Todo un gran ataque cibernético. 👇”

El mensaje

En el mensaje que se generaba en los equipos comprometidos se menciona que la red ha sido penetrada y que todos los archivos de cada dispositivo han sido cifrados con un algoritmo robusto, citando también que los elementos utilizados generalmente para la recuperación de los archivos han sido borrados o cifrados, e  indican no reiniciar o apagar los equipos, no renombrar o mover archivos, no borrar los archivos “readme” y no usar ningún software de recuperación, ya podrá provocar que la información cifrada  sea imposible de ser recuperada. Por último menciona que solo los atacantes tienen el software necesario para descifrar los archivos y que no está disponible al público.

Dan indicaciones de contacto, mediante la dirección electrónica bajo el dominio .onion, la cual corresponde a sitios web considerados dentro de la Deep Web y que pueden ser  visualizados con herramientas como TOR:

http://q7wp5u55lhtuafjtsl6lkt24z4wvon2jexfzhzqqfrt3bqnpqboyqoid.onion/order/cce05568-02fc-11ea-94b8-00163eea179c

Indican que deben ponerse en contacto en 48 horas desde que sus sistemas fueron infectados, agregan que el enlace proporcionado expira en 21 días, si no se realizó contacto la clave de acceso a los datos cifrados se borrara por completo.

La URL y la exigencia en BTC

  • El mensaje se encuentra dirigido específicamente a PEMEX (Petróleos Mexicanos).
  • Se menciona que se tienen 14 días después de los sistemas fueron infectados para poder recuperar el acceso a la información comprometida.
  • Proporcionan la dirección de una wallet de Bitcoin 1MYDpnWXcTE19wp6aZsyyneS1VQeFoFzjg, la cual a la fecha no presenta ninguna transacción
  • La exigencia de pago es de 565 BTC ( un aproximado de 4 millones 975 mil 825.22 dólares)
  • Correo de contacto: JosephAtkins@protonmail.com
  • Hacen mención que en caso de no pagar podrían compartir la información comprometida.

En la página se encuentra un chat activo, en el cual se aprecia una conversación.

-Entiendo que el precio indicado es por la restauración de todos los archivos de la compañía, pero ¿cuál es el precio por recuperar archivos personales?
– Hola. No hay precios personales. Solo para toda la empresa

Dirección BTC para el pago

1MYDpnWXcTE19wp6aZsyyneS1VQeFoFzjg

El Ransomware

De acuerdo a los primeros reportes y análisis de especialistas en ciberseguridad la compañía petrolera habría sufrido un ataque de ransomware DoppelPaymer que exige el pago de 565 Bitcoins para descifrar sus archivos. Hasta el momento al menos se vieron comprometidas el 5% de sus unidades de cómputo, con base en información emitida en el comunicado oficial de PEMEX.

En una captura de pantalla de las notas de rescate filtradas y compartidas por el usuario de Twitter @pollo29098, relaciona el ransomware a la muestra de DoppelPaymer.

Los investigadores de seguridad MalwareHunterTeam y Vitali Kremez también relacionaron la muestra de malware utilizada en el ataque de PEMEX a  DoppelPaymer.

La firma de seguridad BleepingComputer entrevistó al analista Vitali Kremez, quien mencionó que probablemente PEMEX fue blanco de una infección  inicial mediante el troyano Emotet,  que posteriormente eliminó el malware Dridex y esto eventualmente habría proporcionado acceso a la red a los actores de DoppelPaymer,  haciendo movimientos laterales usado Cobalt Strike y PowerShell Empire para distribuir el ransomware por el resto de la red.

Entre mayo y septiembre de 2019, la firma de seguridad FireEye respondió a múltiples incidentes que involucraron a un actor de amenazas con motivación financiera que aprovechó la infraestructura web comprometida. Esta actividad consistió en una campaña de actualización de navegador falsa identificada por primera vez en abril de 2018, ahora rastreada por FireEye como FakeUpdates. En esta campaña, los actores de la amenaza aprovecharon los sistemas de las víctimas para implementar malware como Dridex o NetSupport y múltiples marcos posteriores a la explotación. El objetivo final de los actores de la amenaza en algunos casos era comprometer sistemas en masa con el ransomware BitPaymer o DoppelPaymer.

Imagen de la investigación de FireEye

Elementos técnicos generales de la familia de ransomware doppelpaymer

  • Actividad inicial de esta familia de ransomware desde mediados de 2017,  con actividad en julio de 2019 anterior a la afectación a PEMEX.
  • Se relaciona con el grupo criminal italiano TA505.
  • Tipo: Ransomware, realiza el cifrado de archivos para solicitar el pago de un rescate por el acceso a los mismos.
  • Vector inicial de compromiso: Correo electrónico, requiere la interacción del usuario.
  • Movimientos laterales: La entrega se realiza por un correo electrónico, el cual entrega el troyano Dridex, a través de este roba la información del usuario, como sus credenciales, posteriormente tiene acceso a la red interna de la compañía y con otras herramientas logra distribuir el ransomware lateralmente, en algunos casos mediante el aprovechamiento de RDP por ataques de fuerza bruta, vulnerabilidades de día cero en iTunes y el uso de herramientas como Cobalt Strike y PowerShell Empire.
  • Algoritmo de cifrado: El malware utiliza una combinación de cifrado RSA-2048, AES-256.
  • Extensión del archivo: Cada uno de los archivos comprometidos, se le agrega la extensión “.locked”.
  • Proceso relacionado: Posterior al cifrado, el ransomware ejecuta “SpotLife WebAlbum Service Plugin” en segundo plano.

Sistemas/tecnologías afectadas

  • Windows XP.
  • Windows 7.
  • Windows 8.
  • Windows 10.
  • Windows Server 2008

Medidas de contención

  • Realizar campañas de concientización de ciberseguridad a todo el personal de la organización, a fin de reducir la exposición de ser comprometidos por temas de Ingeniería social.
  • Aplicar actualizaciones de seguridad en todos los equipos que se han identificado como vulnerables.
  • Aislar los equipos infectados con ransomware para evitar que se comprometa otros equipos o servicios compartidos.

Medidas de erradicación

  • Restaurar los equipos de cómputo comprometidos, a partir de fuentes de instalación confiables.
  • Restaurar copias de seguridad en caso de su existencia.

Referencias

  1. https://www.pemex.com/saladeprensa/boletines_nacionales/Paginas/2019-47_nacional.aspx
  2. https://twitter.com/VAntunano/status/1193898035941650440
  3. https://twitter.com/_antonioleyva/status/1193713569394761728
  4. https://twitter.com/_antonioleyva/status/1193926824042082306
  5. https://www.fireeye.com/blog/threat-research/2019/10/head-fake-tackling-disruptive-ransomware-attacks.html
  6. https://www.bleepingcomputer.com/news/security/mexicos-pemex-oil-suffers-ransomware-attack-49-million-demanded/
  7. https://www.2-spyware.com/remove-doppelpaymer-ransomware.html
  8. https://twitter.com/pollo290987/status/1194018444049571840
  9. https://twitter.com/VK_Intel/status/1194344782786527233
  10. https://securityaffairs.co/wordpress/88456/malware/doppelpaymer-ransomware-ta505.html
  11. https://www.crowdstrike.com/blog/doppelpaymer-ransomware-and-dridex-2/
  12. https://www.cyber.nj.gov/threat-profiles/ransomware-variants/bitpaymer