石油巨頭 Pemex 遭勒索 500 萬美元 被迫關停多個IT系統
責編:gltian |2019-11-19 14:01:14勒索軟件為 DoppelPaymer,與 Dridex 和 BitPaymer 背后的黑客組織有關。
Pemex 是世界最大石油公司之一,日前淪為勒索軟件攻擊受害者。
這家營業(yè)額 1,200 億美元的墨西哥石油巨頭表示,攻擊者索要 565 個比特幣,相當于約 500 萬美元。周末時該公司被迫關停境內許多 IT 系統,但拒絕按攻擊者的要求在 48 小時內支付贖金。
截止目前,Pemex 既沒證實也沒否認相關報道。
路透社宣稱掌握來自該公司內部的證據,表示 Pemex 遭遇了 DoppelPaymer 勒索軟件襲擊。該勒索軟件是安全公司 CrowdStrike 于今年 7 月 發(fā)現的 BitPaymer 勒索軟件的分支。之前的受害者包括智利農業(yè)部。
路透社還宣稱已與該惡意軟件背后的黑客團伙取得了聯系。他們表示,Pemex 錯過了立即支付享有的 “特價” 時限,但又設置了一個新的支付截止期。
BitPaymer 和 DoppelPaymer 都與 GameOver Zeus 犯罪網絡背后的組織相關,正是這個組織開發(fā)了臭名昭著的 Dridex 勒索軟件。
CrowdStrike 透露,DoppelPaymer 的代碼與 BitPaymer 基本相同,是所謂 Indrik Spider 黑客團伙的杰作。該團伙于 2014 年由 GameOver Zeus 犯罪網絡的前分支機構組建,喜歡自稱 “商業(yè)俱樂部 (The Business Club) ”。
CrowdStrike 指出:Dridex 早期版本很原始,但這幾年來該惡意軟件變得越來越專業(yè)和復雜。事實上,Dridex 攻擊活動在 2015 和 2016 年里非常活躍,已成最為普遍的電子犯罪惡意軟件家族。
2015 年和 2016 年,英國在一次執(zhí)法行動中逮捕了巴克萊銀行一名協助該團伙洗錢的員工,Indrik Spider 由此受到影響。
該團伙據傳說位于俄羅斯,此前針對英國銀行和金融機構發(fā)起了攻擊。
BitPaymer 最初發(fā)現于 2017 年 8 月,但自 2018 年 7 月起,該團伙就將其戰(zhàn)術從索要比特幣贖金,轉向了單純提供兩個電子郵件地址供與受害者談判使用。
CrowdStrike 表示,DoppelPaymer 背后的團伙采用了類似的策略,只是用了通向基于 Tor 支付門戶的 URL 而已。
也有報告稱 Dridex 和多起電子商務網站支付門戶攻擊事件背后的 Magecart Group 5 有關。
路透社對相關事件的報道:
CrowdStrike 博客文章:
https://www.crowdstrike.com/blog/doppelpaymer-ransomware-and-dridex-2/