Posts Tagged ‘ciberataque a Pemex’

Ciberdelincuentes cumplen su amenaza contra Pemex: publican 10 archivos de entre 2006 y 2014

viernes, marzo 6th, 2020

El ataque con ransomware a Pemex exigía un pago de 4.9 millones de dólares en bitcoins a cambio de regresar información secuestrada. El tiempo establecido pasó y los ciberdelincuentes publicaron alrededor de 10 archivos de 2006 a 2014 en Doppel Leaks.

Ciudad de México, 6 marzo (SinEmbargo).– Ante la falta del pago de 4.9 millones de dólares en bitcoins, el grupo de ciberdelincuentes que atacó a Petróleos Mexicanos (Pemex) con el ransomware Doppelpaymer publicó en Doppel Leaks alrededor de 10 archivos comprimidos en carpetas de formato zip que datan entre 2006 y 2014, pero los responsables aseguran que tienen información más reciente, de acuerdo con Hiram Alejandro Camarillo, Director de InfoSec y Privacy en Seekurity.

Tras el ciberataque en noviembre, en las pantallas de las computadoras de la petrolera se mostraba el conteo de días restantes para pagar el “rescate” de la información robada, cuyo monto depende del número de equipos que impacta y los ingresos de la empresa. Ahora se sabe por la lista mostrada en el sitio que al tener acceso a uno o más servidores centrales, se saltaron a más de 186 mil equipos, ubicados en las refinerías de Salina Cruz, Minatitlán, Salamanca y Tula, en las terminales de Almacenamiento y Reparto (TAR) de Mexicali y Puebla, y en unidades médicas en Coatzacoalcos y Naranjos, en Veracruz, y en Ciudad del Carmen, Campeche.

“Es un riesgo muy grande porque es información de la red interna; de la infraestructura de Pemex. La red interna no puede cambiarse de la noche a la mañana, entonces la misma infraestructura que existía hace cinco años es la misma que sigue funcionando, es decir, aunque los archivos sean hasta 2014 les está funcionando al día de hoy. Tienen acceso a direcciones IP, cuáles son los dispositivos que están conectados dentro de la red, cuáles son las computadoras, los nombres de las computadoras, cómo están divididos los dominios…”, explicó el especialista.

“Eso le puede dar una idea a una persona de cómo poder entrar a la red y hasta dónde mucho más fácil y sin ser detectados. Es como si a nosotros nos dieran los planos de un edificio, lo comprendemos y sabemos cuántos pisos o cuartos tienen, cómo llegar y cuáles nos interesan”, ilustró Camarillo.

hackeo a Pemex

Pemex reportó pérdidas por 18 mil millones de dólares en 2019, 92 por ciento más que en 2018.  Foto: Pemex

Y cualquiera que tenga acceso a la dirección de la página (doppleleaks.ino) puede acceder, revisar los archivos y descargarlos, aunque, advirtió el especialista en ciberseguridad Rigoberto Sandoval, es un riesgo ingresar porque los archivos a veces pueden estar infectados y dañar la computadora, aunque este tipo de ciberatacantes se enfocan en empresas y bancos.

“Como no obtuvo el dinero, publicó la información, lo cual tiene un daño en la imagen, credibilidad y desempeño de Pemex. Fue un golpe social al poner en evidencia de la poca capacidad que tiene para resguardar su información”, dijo. “Decían que la información personal de los trabajadores no estaba en peligro, pero ellos [los hackers] tienen la capacidad de extraer la información de las computadoras y de ingresar a otras cuentas desde esa computadora, ver contraseñas”.

El miembro de Seekurity Hiram Camarillo expuso que colocaron dos sitios, uno en la internet normal y otro en la red obscura, por si en algún momento dan de baja o denuncian al servidor donde están alojados, seguirán teniendo la réplica o el espejo de la información para poder volver a subirla.

“Debajo puedes encontrar información privada de las compañías que fueron hackeadas por Doppelpaymer. Estas compañías decidieron mantener la fuga en secreto, y ahora su tiempo para pagar ha vencido”, mensaje publicado el 24 de febrero en Dopple Leaks. Imagen: Captura de pantalla.

HERMETISMO DE PEMEX

A lo largo del “secuestro” de la información, los movimientos administrativos de Pemex se pausaron y en los hospitales tuvieron problemas para emitir recetas y acceder a los expedientes médicos. El director general Octavio Romero Oropeza no se pronunció al respecto y los comunicados oficiales aseguraban que se operaba con “normalidad” y que solo el 5 por ciento de los equipos de cómputo había sido atacado. Sin embargo, terminó expandiéndose a más de 186 mil.

Ante la solicitud de información de un ciudadano sobre el origen y duración del ciberataque, las consecuencias y las medidas tomadas, la petrolera reservó la información por 5 años. El 28 de febrero el Presidente Andrés Manuel López Obrador se comprometió en la conferencia de prensa que pediría al titular de la petrolera un informe “y si es necesario que venga aquí y él informe”, pero no ha sucedido.

“No sabemos si Pemex ya realizó las medidas de seguridad necesarias como para ver si todos los equipos están a salvo y si ya hizo una evaluación de si estas personas continúan o no en la red interna. Si continúan, la infraestructura sigue en sus manos. No lo sabemos. Existe el riesgo de que en un futuro alguien quiera atacar a Pemex, depende de lo que esté haciendo”, dijo Hiram Camarillo, de Seekurity.

Pemex perdió durante 2019 más de 18 mil 367 millones de dólares, un 91.8 por ciento más que en 2018, reportó a finales de febrero. La producción de crudo fue de mil 684 millones de barriles diarios, 7.6 por ciento menos que en 2018, y la producción de gas natural cayó un 4 por ciento al situarse en tres mil 690 millones de pies cúbicos diarios.

“Pemex minimizó el impacto por imagen y credibilidad. No se está dimensionando el problema porque este tipo de ataques además de que dejas de trabajar el día a día, pega en la producción de Pemex. El no pagar 5 millones de dólares tendrá una repercusión que va a superar ese monto”, aseguró el especialista en ciberseguridad Rigoberto Sandoval.

Lo que tiene que hacer Pemex y todas las entidades gubernamentales, recomendó Camarillo de Seekurity, es mejorar su área de TI (tecnología de información) y de seguridad.

“No tengo duda de que el Gobierno invierte en infraestructura de seguridad, pero eso no implica tener a la gente capacitada que pueda utilizarla correctamente. Necesita consultores internos y externos que entiendan los riesgos e implicaciones”, afirmó.

Tags:, , ,
Posted in A fondo, Destacada - Econo, DESTACADAS, ECONOMÍA, MÉXICO, TIEMPO REAL, Tiempo Real - Econo | 16 Comments »

No sólo es Pemex: SRE y al menos 19 gobiernos estatales y locales son el blanco de hackers en 2019

sábado, noviembre 16th, 2019

Pemex continúa enfrentando el ciberataque con ransomware detectado desde el domingo pasado y que “secuestró” su información a cambio de 4.9 millones de dólares. Sin embargo, además de la petrolera mexicana, este 2019 sitios web del Gobierno de México han sido blanco de defacement, otro tipo de hackeo que deforma la página web. Entre ellos, el de la Secretaría de Relaciones Exteriores y las de 19 gobiernos estatales y locales, muestra el portal Zona-H. El especialista en ciberseguridad Rigo Sandoval planteó que aunque estos son menos agresivos, son ya una llamada de alerta.

Ciudad de México, 16 noviembre (SinEmbargo).– Del 3 de enero al 3 de noviembre de 2019, sitios web y subdominios del Gobierno de México a nivel federal y estatal –tanto con Windows como con Linux– han sido víctimas del ciberataque defacement (deformación de una página web) dirigido por hackers “de sombrero negro”, de acuerdo con Zone-H, un portal donde se publican sus acciones.

Sin embargo, este tipo de ataques no han sido “tan agresivos” como el ransomware (encriptación de datos y solicitud de dinero para liberarlos) que mantiene secuestrada la información de máquinas de algunos trabajadores de Petróleos Mexicanos (Pemex), explicó Rigo Sandoval Uribe, especialista en ciberseguridad. La petrolera lo reconoció públicamente hasta el lunes pasado en la noche, pero afirmó que el ataque “no había prosperado”.

“Estos son pequeños ataques (crackeos) y por hackers de un perfil más abajo; como si fueran ‘asaltantes’. Es información que tienes en la web y de alguna manera no afecta tanto. Pero es una llamada de atención. Hay algunos hackers que buscan sólo fama”, dijo. “Para que no sufras de esto se requiere de mucho dinero y de mucha infraestructura, de un Plan de Recuperación de Desastres para restaurar la información lo más rápido posible. En el caso de Pemex, llegó una ‘banda criminal’ pidiendo dinero, no son unos novatos. Es un grupo muy bien conformado, sólido y con conocimientos avanzados”.

La Secretaría de Relaciones Exteriores (SRE) recibió el ciberataque el 22 de septiembre de este año a las 10:19 horas con la leyenda “HACKED BY SERAVO ;))”, un hacker de “sombrero negro”. El tipo de daño al sitio registrado fue Redefacement.

“Eso significa que lo repararon en el área de sistemas y lo volvieron a atacar”, afirmó Sandoval. “Que no tengan la seguridad adecuada deja mucho que desear, porque si son ataques pequeños y los están recibiendo, qué puede llevar a pasar”.

El especialista en ciberseguridad Rigo Sandoval expuso que se debería dar más prioridad y presupuesto a la Policía Cibernética para prevenir de manera más eficiente este tipo de casos.

Mensaje del hacker en el home del sitio de la SRE en septiembre de 2019. Imagen: Zone-H.

ATAQUES A GOBIERNOS LOCALES

Este 2019 también han sido blanco del ciberataque defacement sitios web de gobiernos estatales, municipales o dependencias públicas de Tabasco, Chiapas, Oaxaca, Guerrero, Jalisco, Veracruz, Coahuila, Sinaloa, Puebla, San Luis Potosí, Nuevo León, Tlaxcala, Tamaulipas, Querétaro, Estado de México, Aguascalientes, Colima, Michoacán y Zacatecas, de acuerdo con el portal Zona-H. Algunos son dominios y otros subdominios, incluyendo sobre zonas turísticas.

Además del tipo recibido por la SRE (redefacement), los otros detectados por Zone-H son el Homepage defacement (el home muestra una leyenda o un gif sobre el hackeo) o el Mass defacement (un hackeo masivo, por lo que daña o infiltra prácticamente todo el sitio), explicó Rigo Sandoval, especialista en ciberseguridad.

“En algunos casos, no solamente entran y dejan un archivo. No. Entran al servidor, y pueden ver todos los datos, dentro del sitio web. En la mayoría de las veces queda el nombre del hacker”, expuso Sandoval.

SIGUE EL ATAQUE EN PEMEX

Sobre ciberseguridad en Pemex, la Auditoría Superior de la Federación (ASF) observó en la Cuenta Pública 2018 que “en relación con la protección de equipos de usuario final, se identificó que algunos no se encontraban protegidos, lo que los hace vulnerables a los ataques cibernéticos”.

Asimismo, le advirtió que “no se gestiona activamente ni se actualizan las reglas de configuración de seguridad de los dispositivos de infraestructura de red, tampoco se cuenta con un proceso formal relacionado con dicha actividad”.

Este viernes por la tarde Pemex pidió hacer caso omiso al boletín apócrifo que circuló en la mañana en diversos medios de comunicación y redes sociales sobre supuestos retrasos de pago de nómina y aguinaldo a trabajadores de la empresa.

Sin embargo, el ransomware detectado desde el domingo mantiene encriptada la información de algunas máquinas de los trabajadores, por lo que entre ellos hay incertidumbre si llegará el aguinaldo programado para la primera semana de diciembre.

Simulador del ataque de un tipo de ransomware. Imagen: captura de video de Youtube de Predrag Grujic

“El ransomware con el que atacaron a Pemex probablemente lo hizo un grupo ruso que se le conoce en el mundo del hackeo como TA505”, expuso el especialista Rigo Sandoval. “Está especializado en atacar objetivos de alto perfil. Atacaron el Ministerio de Agricultura de Chile y en Estados Unidos al Condado de Texas. El dirigido a Ohio Gratings Inc (aluminio y acero) fue con un ransomware que muestra en el monitor un mensaje como en las máquinas de Pemex”, comparó.

De acuerdo con Sandoval, cuando concluyan los 21 días señalados por este malware en algunas máquinas de los petroleros “se perderá” la información encriptada al borrarse por falta del pago.

“El tiempo que le vaya a costar volver a operar depende de cuánta información esté ahorita secuestrada. Pemex dice que fue el 5 por ciento, pero son 10 mil computadoras”, dijo. “El desconectar los equipos es una medida tardía. No se va a resolver así. Ya tienen la infección, y lo que hay que hacer es combatirla”.

Aunque en algunos casos sí se puede recuperar información, en el caso de la empresa pública más importante del país aún no se sabe.

Tags:, , , ,
Posted in A fondo, Destacada - Econo, ECONOMÍA, GRANDES TEMAS, MÉXICO, TIEMPO REAL, Tiempo Real - Econo | 1 Comment »

La operación de las pipas y hasta de los hospitales de Pemex se complica por ataque cibernético

jueves, noviembre 14th, 2019

Petróleos Mexicanos reconoció que desde el fin de semana recibió “intentos” de ataques cibernéticos, mismos que “fueron neutralizados oportunamente”. Sin embargo, en el quinto día del ciberataque con un malware, fuentes cercanas a la petrolera aseguran que los hospitales no pueden emitir recetas médicas y los trabajadores de las pipas de combustibles dan recibos a mano.

Ciudad de México, 14 de noviembre (SinEmbargo).- En el quinto día del ciberataque con un malware a Petróleos Mexicanos (Pemex), fuentes cercanas a la petrolera aseguran que los hospitales no pueden emitir recetas médicas por lo que están reprogramando citas y los trabajadores de las pipas de combustibles, al no emitir facturas, trabajan “con papel en mano”.

Pemex cuenta con 21 hospitales, 12 clínicas y 26 consultorios en el país para sus 700 mil derechohabientes. “Claro que genera problemas ya que los procesos están automatizados, con todo y esto las autoridades de las unidades médicas están realizando estrategias para resolver la atención de los usuarios”, comentó una fuente de un hospital en Tabasco.

El ransomware, que podría ser el código malicioso según la interpretación de ciberseguridad de la pantalla de computadoras mostrada por empleados en redes sociales, generalmente llega por un correo electrónico con un archivo adjunto y se extiende cuando alguien lo ejecuta, si no cuentan con los elementos de protección como un antimalware.

De acuerdo con uno de esos funcionarios de Pemex, el primer ataque llegó a Villahermosa, Tabasco, y de ahí se extendió a todo el sistema, el cual, dijo, los ciberdelincuentes “tienen secuestrado”.

“Carguen gasolina”, recomendó.

Sin embargo, Carlos Elizondo, representante de 800 gasolineras a nivel nacional, dijo que “es falso que habrá desabasto por el problema cibernético que se presentó. [Los piperos] están trabajando normal. De hecho sin factura electrónica los embarques no pueden salir de las Terminal de Almacenamiento y Reparto (TAR)”.

Pemex tuiteó la tarde del martes, hace dos días, que “las Terminales de Almacenamiento y Despacho (TAD) de Pemex en todo el país operan de manera regular y sin contratiempos. El abastecimiento de gasolinas está garantizado. Evitemos los rumores y la desinformación”.

El titular Octavio Romero Oropeza no ha hecho ningún pronunciamiento. Ayer la Secretaria de Energía, Rocío Nahle García, informó que no pagarán los 4.9 millones de dólares de bitcoins que los ciberdelincuentes exigen para liberar el sistema, por lo que “podrían aumentar el monto”, previó la fuente de Pemex.

Desde Tabasco, la Secretaria General del sindicato Petromex Yolanda Morales Izquierdo afirmó que en hospitales del estado “algunas consultas se reprogramaron”.

Sobre los pagos de catorcenas a los trabajadores dijo que “no hay ningún atraso, todos los depósitos se hicieron”. En Veracruz, trabajadores de Pemex aseguran que tampoco han registrado retrasos en los pagos.

El vocero de Petromex Óscar Solórzano agregó que los trabajadores cuyas computadoras muestran “leyendas encriptadas”, por protocolo continúan trabajando a mano.

EL ATAQUE

Petróleos Mexicanos reconoció en un comunicado que el domingo pasado 10 de noviembre recibió “intentos” de ataques cibernéticos, mismos que “fueron neutralizados oportunamente”.

Sin embargo, ocasionó afectaciones en menos del 5 por ciento de los equipos personales de cómputo, pero actualmente opera con normalidad, por lo que garantiza la producción, abastecimiento e inventarios de combustible, según informó la Empresa Productiva del Estado.

La petrolera aseguró que el funcionamiento de los sistemas de operación y producción de la empresa no están comprometidos y que, además, están blindados.

Consideró que, como todas las grandes empresas e instituciones gubernamentales y financieras recibe “con frecuencia” amenazas y ataques cibernéticos “que al día de hoy no han prosperado”.

Tags:, , , ,
Posted in A fondo, DESTACADAS, ECONOMÍA, MÉXICO, TIEMPO REAL | No Comments »