Pemex ciberatacada mediante ransomware

Hackers piden cinco millones de dólares a Pemex en ciberataque.
Por Adriana Barrera y Raphael Satter, publicado por Reuters.

CIUDAD DE MÉXICO/WASHINGTON, 12 nov (Reuters) - Los hackers que atacaron la red interna de la mexicana Pemex esta semana están solicitando a la petrolera un pago de unos 5.0 millones de dólares y dijeron el martes a Reuters que la firma estatal perdió el plazo para obtener un “precio especial” para liberar sus sistemas.

Foto de Reuters

El ataque, que fue detectado por Pemex el domingo, forzó a la compañía a apagar equipos de cómputo de sus empleados en todo el país, inhabilitando, entre otros, los sistemas de pagos, de acuerdo con cinco empleados de la compañía y correos electrónicos internos.

Los hackers han apuntado cada vez más a las empresas con programas maliciosos que pueden paralizar los sistemas que supervisan todo, desde las cadenas de suministro hasta las fábricas, eliminándolos solo después de recibir pagos.

Una nota de rescate que apareció en las computadoras de Pemex y que fue vista por Reuters daba instrucciones para acceder a un sitio de internet anónimo ligado a “DoppelPaymer”, un tipo de ransomware.

En dicho sitio, los hackers pedían los 565 bitcoins, equivalente a cinco millones de dólares, y daban a la petrolera una plazo de 48 horas para realizar el pago, añadiendo los detalles de cómo realizar la transferencia y una dirección de correo electrónico.

Tras ser contactados, los presuntos hackers respondieron a Reuters que Pemex había perdido el plazo para obtener un “precio especial”, en una aparente referencia al descuento que ofrecen a víctimas de “ransomware” por un pago anticipado, pero dijeron que Pemex todavía tenía tiempo para entregar los 565 bitcoins.

“El plazo ha expirado solo para el precio especial”, escribieron los hackers a la consulta de Reuters, aunque no respondieron a la pregunta sobre si Pemex había hecho algún movimiento para pagar el rescate.

Pemex no contestó de inmediato a una solicitud de comentarios sobre la nota de rescate.

El ataque es el último desafío para Pemex, que está luchando para pagar grandes deudas, revertir años de disminución de la producción de petróleo y evitar rebajas en sus calificaciones crediticias.

Pemex dijo que sus instalaciones de almacenamiento y distribución estaban funcionando normalmente y que el ataque había afectado a menos del 5% de sus computadoras.

“Evitemos los rumores y la desinformación”, dijo en un comunicado el lunes.

Una persona que trabaja en Pemex Exploración y Producción dijo que la división no se vio afectada.

Había cierta confusión sobre qué tipo de ransomware se utilizó en el ataque. Un funcionario de Pemex dijo en un correo electrónico interno que la compañía fue atacada por “Ryuk”, una variedad de ransomware que los expertos dicen que generalmente apunta a compañías con ingresos anuales entre 500 y 1,000 millones de dólares, muy por debajo de los niveles de Pemex.

DoppelPaymer es un tipo relativamente nuevo de ransomware que, según la firma de ciberseguridad CrowdStrike, estuvo detrás de los recientes ataques contra el Ministerio de Agricultura de Chile y la ciudad de Edcouch en Texas.

El martes, Pemex estaba reconectando computadoras no afectadas a su red utilizando parches de software y limpiando las computadoras infectadas, dijo una fuente, que habló bajo condición de anonimato.

La compañía tuvo que comunicarse con los empleados a través del servicio de mensajería móvil WhatsApp porque los empleados no podían abrir sus correos electrónicos, dijo otra fuente, que tampoco estaba autorizada para hablar con los periodistas.

“En Finanzas, todas las computadoras están apagadas, eventualmente podría haber problemas con los pagos”, dijo.

Las compañías tomadas digitalmente como rehenes pueden sufrir daños catastróficos, ya sea que paguen o no un rescate.

El productor noruego de aluminio Norsk Hydro fue golpeado en marzo por un ransomware que se extendió a 160 sitios, lo que finalmente obligó a partes del gigante industrial a operar con lápiz y papel.

La compañía se negó a pagar el rescate. Pero dijo que el ataque generó hasta 71 millones de dólares en costos de limpieza, de los cuales hasta ahora solo 3.6 millones habían sido pagados por el seguro. / Por Adriana Barrera y Raphael Satter, publicado por Reuters. Reporte de Adriana Barrera en Ciudad de México y Raphael Satter en Washington. Editado por Abraham González.--

El ciberataque a Pemex fue una acción dirigida: ESET.

Por Katyana Gómez Baray, publicado por El Economista.

El investigador de seguridad de ESET Latinoamérica Miguel Ángel Mendoza advirtió que el ataque cibernético confirmado por Pemex debe servir como señal de alerta para otras empresas.

El ataque cibernético detectado por Petróleos Méxicanos (Pemex) el fin de semana fue una acción aparentemente dirigida, advirtió el investigador de seguridad de ESET Latinoamérica, Miguel Ángel Mendoza.


La agresión mediante una presunta variable de ransomware habría afectado a menos del 5% de los equipos de cómputo, según confirmó la empresa productiva del Estado. El ransomware es utilizado por ciberdelincuentes para "secuestrar" equipos de cómputo hasta que sus propietarios pagan por su rescate.

“En este tipo de ataques dirigidos, una vez que se compromete un equipo, se utilizan herramientas para realizar movimientos laterales dentro de las redes corporativas, tal es el caso de Empire (basado en PowerShell), una herramienta utilizada por atacantes para estos propósitos. Otras campañas de propagación de ransomware en ataques dirigidos se basan en la explotación de vulnerabilidades, como es el caso de BlueKeep”, dijo el especialista de la compañía de seguridad cibernética. PowerShell es una interfaz de consola diseñada para su uso por parte de administradores de sistemas, con el propósito de automatizar tareas o realizarlas de forma más controlada.

"Existen códigos maliciosos, como Emotet o Trickbot, que son utilizados para propagar diferentes tipos de amenazas; es decir, funcionan como downloaders que también distribuyen ransomware", explicó el investigador de seguridad de ESET.

ESET es una compañía de seguridad informática establecida en Bratislava, Eslovaquia. Fundada desde 1992, esta empresa es pionera en protección antivirus y en el desarrollo de software para la detección de amenazas cibernéticas.

El especialista de ESET advirtió que este ciberataque debe servir como señal de alerta para otras empresas, en especial al tomar en cuenta otros dos ataques de ransomware registrados recientemente en España que afectaron a la consultora IT Everis y a una de las principales cadenas de radio, Cadena SER.

Petróleos Mexicanos confirmó la noche de este lunes, a través de un comunicado de prensa, que el domingo 10 de noviembre sufrió “intentos de ataques cibernéticos” que afectaron el funcinamiento de menos del 5% de sus computadoras.

En el comunicado número 48, la petrolera aseguró que sus sistemas de operación y producción funcionaban con normalidad y que el abasto de gasolina estaba garantizado, luego de rumores de que podrían verse afectados.

Sin embargo, la tarde del lunes 11 de noviembre, la comercializadora Innova Petromex reportó a sus clientes distribuidores de combustibles que el sitio web de Pemex había sufrido un ciberataque desde el viernes 8 de noviembre, lo que habría impedido las operaciones de comercialización con Pemex Transformación Industrial.

Innova Petromex afirmó que la agresión mediante una presunta variable de malware, que incluso borra puntos de restauración de equipos, ocurrió no sólo en el sitio web, sino también en todo el sistema de comunicación en terminales de almacenamiento, con lo que también asesores comerciales y administrativos suspendieron los servicios.

Este ciberataque dirigido a Pemex se suma a las agresiones registradas en los últimos años a diversas instituciones mexicanas como el Sistema de Pagos Electrónicos (SPEI) en los primeros meses de 2018 y a las afectaciones que ocasionó el ransomware WannaCry, en 2017.

Entre 2017 y 2018, México cayó 35 lugares en el Índice Global de Ciberseguridad de la Unión Internacional de Telecomunicaciones (ITU) al pasar del lugar 28 al 63. El país fue además desplazado por Uruguay de entre los tres primeros lugares del continente americano.

Según diversos análisis de organizaciones internacionales e instituciones del sector privado, los sectores más expuestos a ciberataques en México son las instituciones financieras, los sitemas de infraestructura crítica, la industria 4.0, además de los usuarios finales y las cadenas de suministro de las empresas de cualquier sector.

Recomendaciones frente a un ciberataque

Frente a este escenario, el investigador de seguridad de ESET Latinoamérica, Miguel Ángel Mendoza recuerda algunas de las principales recomendaciones dirigidas a empresas y usuarios para estar protegidos ante una amenaza de ciberdelincuentes:

• Utilizar una solución antimalware actualizada y correctamente configurada.
• Actualizar los sistemas operativos y software en general, para corregir vulnerabilidades conocidas.
• Evitar acceder a enlaces o descargar archivos adjuntos de correos electrónicos sospechosos.
• Realizar respaldos de información de manera periódica, de acuerdo con la criticidad de los datos en cuestión.
• Evitar realizar el pago del rescate, ya que esto no garantiza la obtención de las claves de descifrado, y en caso de obtenerlas, las mismas no son funcionales. Además, con el pago del rescate se financia la industria cibercriminal.
• Educar y concientizar a los miembros de la organización en materia de seguridad, para evitar que se conviertan en la puerta de acceso para las amenazas de este estilo.

Por Katyana Gómez Baray, publicado por El Economista. (Con información de Karol García y Rodrigo Riquelme.).--

Noticia relacionada:

• La mitad de los sistemas críticos en México ha sufrido intentos de ciberataques. El Economista. 02/09/2019.- 

Pos relacionados:

• La Cadena SER y Everis víctimas de ataque de ransomware. 05/11/2019.
• Las ciberamenazas a la seguridad interna. 12/06/2019.

___________________

NOTA: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

IMPORTANTE: Todas las publicaciones son sin fines comerciales ni económicos. Todos los textos de mi autoría tienen ©todos los derechos reservados. Los contenidos en los link (vínculos) de las notas replicadas (reproducidas) y/o citadas son de exclusiva responsabilidad de sus autores. Éste blog ni su autor tienen responsabilidad alguna por contenidos ajenos.