使用Egregor勒索软件的攻击者在最初几个月的活动中表现的非常的活跃。在针对被攻击的美国零售商Kmart之后,Egregor团伙还用勒索软件攻击扰乱了温哥华地铁系统。
加拿大城市公共交通网络Translink周四其首席执行官Kevin Desmond在Twitter上声明证实,
我们的一些IT基础设施成为了勒索软件攻击的目标","包括通过打印与Translink进行通信的信息。
据媒体报道,这次攻击发生在12月1日,导致温哥华的居民和其他公共交通服务的用户无法使用他们的Compass地铁卡,也无法通过该机构的Compass售票亭购买新票。在被当地多家新闻机构追问真实情况之前,Translink公司的官员两天来一直避免承认此次攻击事件,将其说成是技术问题。
当地电台新闻台News 1130的高级新闻记者Martin MacMahon在推特上说,
通过我和我的同事@pjimmyradio合作,我们可以确认,TransLink已经被黑客攻击,我们的信息来自于交通局内部的多个消息源,他们已经与我们分享了勒索信。
虽然官方并没有出来说Egregor要对这次攻击负责,而且使用勒索软件的黑客也没有认罪,但伴随着攻击而来的勒索说明却指出了该组织是罪魁祸首。
另一家本地新闻媒体Global BC的记者乔丹-阿姆斯特朗(Jordan Armstrong)周五凌晨在推特上发布了一张勒索纸条的照片,称它是"从TransLink的打印机上打印出来"的。
据消息,在这一问题上,TransLink并不打算支付赎金。但我们采访的一位网络安全专家说,这是一种复杂的新型勒索软件攻击,并且许多受害者确实都支付了赎金。
勒索说明的威胁信息是:黑客要向媒体以及客户和合作伙伴公布从Translink盗取的数据,这样此次攻击就会被广为人知,这也是Egregor的一个特点。该恶意软件采用的策略是在加密所有文件之前,先将企业信息进行窃取,并威胁其将会把数据进行公布。
根据BleepingComputer的报道,该组织也是目前唯一已知的勒索软件,它运行后会导致企业的打印机不断打印出勒索票据。同样的事情也发生在11月中旬对南美零售商Cencosud的攻击中,这一攻击被记录在Twitter上的视频中。
Desmond表示,Translink将继续调查此次攻击,并减少攻击造成的所有损失。同时,Compass自动售货机和交通站的感应支付门的服务已经恢复。
Egregor这个名字指的是一个神秘的术语,意在表示一群人的集体能量或力量,自9月和10月首次在网络上被发现以来一直活动很频繁。本周早些时候,在Kmart的攻击中对连接到公司网络的设备和服务器进行了加密,造成后端服务瘫痪。
10月,Egregor还声称攻击了游戏巨头育碧,窃取了10月29日发布的《看门狗:军团》的源代码。它还单独对游戏创作者Crytek进行了攻击,该作者与Arena of Fate和Warface等游戏作品的创作有关。
Egregor最近也成为头条新闻,因为它声称对10月15日首次发生的Barnes & Noble网络攻击事件负责。这家书店曾在发给客户的电子邮件通知中警告说,它被黑客攻击了,导致黑客未经授权非法访问了Barnes & Noble公司的某些系统。
本文翻译自:https://threatpost.com/vancouver-metro-egregor-ransomware/161892/如若转载,请注明原文地址