La operación de ransomware Egregor ha violado a la agencia de transporte TransLink de Metro Vancouver y el ciberataque provocó interrupciones en los servicios y los sistemas de pago.
El 1 de diciembre, TransLink’s anunció que tenían problemas con sus sistemas de tecnología de la información que afectaban a los teléfonos, los servicios en línea y la capacidad de pagar tarifas con una tarjeta de crédito o débito. Todos los servicios de tránsito no se vieron afectados por los problemas de TI.
Después de restaurar los sistemas de pago, TransLink emitió una declaración en la que revelaba que un ataque de ransomware causó los problemas de TI.
“Ahora estamos en condiciones de confirmar que TransLink fue el objetivo de un ataque de ransomware en parte de nuestra infraestructura de TI. Este ataque incluye comunicaciones a TransLink a través de un mensaje impreso”, reveló TransLink en un comunicado.
El ransomware Egregor estaba detrás del ataque de TransLink
El reportero de Global BC Jordan Armstrong tuiteó una imagen de la nota de rescate y declaró que las impresoras TransLink estaban imprimiendo repetidamente notas de rescate.
Carta de rescate que ha salido de las impresoras en @TransLink.
Las fuentes me dicen que, en este momento, @TransLink NO tiene la intención de pagar.Pero un experto en seguridad cibernética con el que hablamos dice que este es un nuevo tipo sofisticado de ataque de ransomware … y muchas víctimas pagan. @ GlobalBC pic.twitter.com/2tYLy4lZkG
– Jordan Armstrong (@jarmstrongbc) 4 de diciembre de 2020
A partir de la imagen de la nota de rescate, BleepingComputer puede confirmar que fue la operación de ransomware Egregor detrás del ataque.
Si tiene información de primera mano sobre este u otros ciberataques no denunciados, puede contactarnos de manera confidencial en Signal al +16469613731 o en Wire en @ lawrenceabrams-bc.
Egregor es también el único ransomware conocido que ejecuta scripts que imprimen notas de rescate de bombas en impresoras disponibles, como lo describe Armstrong en su tweet. La pandilla Egregor realizó esta misma táctica durante un reciente ciberataque de Cencosud, donde los impresores de recibos comenzaron a imprimir repetidamente notas de rescate para llamar la atención del público sobre el ataque.
Egregor es una nueva operación de ciberdelincuencia organizada que se asocia con afiliados para piratear redes y desplegar su ransomware. Como parte de este acuerdo, los afiliados obtienen el 70% de los pagos de rescate que generan y los operadores de Egregor obtienen una participación de los ingresos del 30%.
Se sabe que los afiliados que comprometen una red roban archivos no cifrados antes de cifrar los dispositivos con el ransomware Egregor. Luego, los piratas informáticos utilizan estos archivos robados como una ventaja adicional al decirles a las víctimas que serán liberados públicamente si no se paga un rescate.
Esta banda de ransomware comenzó a operar en septiembre de 2020 después de que otro grupo de ransomware conocido como Maze cerrara su operación. Los actores de amenazas le dijeron a BleepingComputer que muchos de los afiliados que trabajaron con Maze se mudaron a Egregor, lo que permitió que la nueva operación acumulara muchas víctimas rápidamente.
Estos ataques incluyen numerosas empresas de alto perfil en todo el mundo, incluidas Kmart, Cencosud, Crytek, Ubisoft y Barnes and Noble.
¡Gracias a Jack Zhang por el consejo!
