El ataque, que impidió a los usuarios de Translink usar sus tarjetas de metro o comprar boletos. Este es el segundo ciberataque del grupo de amenazas esta semana.
Los actores de amenazas detrás del ransomware Egregor están mostrando una prolificidad en sus primeros meses de actividad. Inmediatamente después de apuntar al minorista estadounidense Kmart, la banda Egregor también interrumpió el sistema de metro de Vancouver con un ataque de ransomware.
Translink , la red de transporte público de la ciudad canadiense, confirmó el jueves a través de un comunicado de su CEO Kevin Desmond en Twitter que era «el objetivo de un ataque de ransomware en parte de nuestra infraestructura de TI» que «incluía comunicaciones a Translink a través de un mensaje impreso».
El ataque tuvo lugar el 1 de diciembre y dejó a los residentes de Vancouver y otros usuarios del servicio de transporte público sin poder usar sus tarjetas de metro Compass o pagar nuevos boletos a través de los quioscos de boletos Compass de la agencia, según informes de los medios. Los funcionarios de Translink evitaron reconocer el ataque durante dos días, haciéndolo pasar por un problema técnico antes de ser presionados por varias agencias de noticias locales sobre lo que realmente estaba sucediendo.
«Trabajando con mi colega @pjimmyradio, podemos confirmar para @ NEWS1130 que @TransLink ha sido pirateado», tuiteó Martin MacMahon, reportero de noticias de la estación de noticias de radio local News 1130. «Nuestra información proviene de múltiples fuentes dentro de la autoridad de tránsito, que han compartido la carta de rescate con nosotros «.
Jordan Armstrong, reportero de otro medio de comunicación local, Global BC, tuiteó una foto de la nota de rescate en las primeras horas del viernes por la mañana, diciendo que estaba «saliendo de las impresoras en @TransLink».
La nota de rescate amenaza con divulgar los datos robados de Translink a los medios de comunicación, así como a sus clientes y socios para que el ataque sea ampliamente conocido, una medida que es un sello distintivo de Egregor. El malware utiliza una táctica de desviar información corporativa y amenazar con esta publicación de la misma en «medios masivos» antes de cifrar todos los archivos.
El grupo también es en este momento el único ransomware conocido que ejecuta scripts que hacen que los impresores de la organización impriman continuamente la nota de rescate. Lo mismo sucedió en un ataque al minorista sudamericano Cencosud a mediados de noviembre.