勒索软件为 DoppelPaymer,与 Dridex 和 BitPaymer 背后的黑客组织有关。
Pemex 是世界最大石油公司之一,日前沦为勒索软件攻击受害者。
这家营业额 1,200 亿美元的墨西哥石油巨头表示,攻击者索要 565 个比特币,相当于约 500 万美元。周末时该公司被迫关停境内许多 IT 系统,但拒绝按攻击者的要求在 48 小时内支付赎金。
截止目前,Pemex 既没证实也没否认相关报道。
路透社宣称掌握来自该公司内部的证据,表示 Pemex 遭遇了 DoppelPaymer 勒索软件袭击。该勒索软件是安全公司 CrowdStrike 于今年 7 月 发现的 BitPaymer 勒索软件的分支。之前的受害者包括智利农业部。
路透社还宣称已与该恶意软件背后的黑客团伙取得了联系。他们表示,Pemex 错过了立即支付享有的 “特价” 时限,但又设置了一个新的支付截止期。
BitPaymer 和 DoppelPaymer 都与 GameOver Zeus 犯罪网络背后的组织相关,正是这个组织开发了臭名昭著的 Dridex 勒索软件。
CrowdStrike 透露,DoppelPaymer 的代码与 BitPaymer 基本相同,是所谓 Indrik Spider 黑客团伙的杰作。该团伙于 2014 年由 GameOver Zeus 犯罪网络的前分支机构组建,喜欢自称 “商业俱乐部 (The Business Club) ”。
CrowdStrike 指出:Dridex 早期版本很原始,但这几年来该恶意软件变得越来越专业和复杂。事实上,Dridex 攻击活动在 2015 和 2016 年里非常活跃,已成最为普遍的电子犯罪恶意软件家族。
2015 年和 2016 年,英国在一次执法行动中逮捕了巴克莱银行一名协助该团伙洗钱的员工,Indrik Spider 由此受到影响。
该团伙据传说位于俄罗斯,此前针对英国银行和金融机构发起了攻击。
BitPaymer 最初发现于 2017 年 8 月,但自 2018 年 7 月起,该团伙就将其战术从索要比特币赎金,转向了单纯提供两个电子邮件地址供与受害者谈判使用。
CrowdStrike 表示,DoppelPaymer 背后的团伙采用了类似的策略,只是用了通向基于 Tor 支付门户的 URL 而已。
也有报告称 Dridex 和多起电子商务网站支付门户攻击事件背后的 Magecart Group 5 有关。
路透社对相关事件的报道:
CrowdStrike 博客文章:
https://www.crowdstrike.com/blog/doppelpaymer-ransomware-and-dridex-2/