使用Egregor勒索软件的攻击者在活动的前几个月非常活跃。在以受感染的美国零售商Kmart为目标后,Egregor团伙还通过勒索软件攻击扰乱了温哥华地铁系统。加拿大城市公共交通网络Translink的首席执行官凯文德斯蒙德周四在Twitter声明中证实,我们的一些IT基础设施是勒索软件攻击的目标,包括打印与Translink通信的消息。据媒体报道,这次袭击发生在12月1日,导致温哥华居民和其他公共交通服务的用户无法使用他们的Compass地铁卡或通过该机构的Compass售票亭购买新票。在受到多家当地新闻机构的追问之前,Translink官员在两天内没有承认这次袭击,将其视为技术问题。当地广播新闻台News1130的高级新闻记者MartinMacMahon在推特上写道:“通过我与同事@pjimmyradio的合作,我们可以确认TransLink已被黑客入侵,我们的信息来自TransitAgency来源的多个来源,他们分享了勒索信。虽然官方没有出来说Egregor对此次攻击负责,并且使用勒索软件的黑客也没有认罪,但伴随攻击的勒索信指出该组织是罪魁祸首。JordanArmstrong,另一家当地新闻媒体GlobalBC的一名记者周五早上在推特上发布了一张赎金票据的照片,称这是“用TransLink的打印机打印的。”据消息人士透露,在这个问题上,TransLink不打算支付赎金。但我们采访的一位网络安全专家表示,这是一种复杂的新型勒索软件攻击,许多受害者确实支付了赎金。勒索信中的威胁信息是:黑客将宣布将数据从Translink窃取给媒体、客户和合作伙伴,这样攻击就会广为人知,这也是Egregor的一个特点。该恶意软件的策略是在加密所有文件之前窃取公司信息,并威胁要发布数据。据BleepingComputer称,该组织也是唯一已知的勒索软件,在运行时会导致公司打印机不断打印勒索票据。同样的事情也发生在11月中旬对南美零售商Cencosud的袭击中,该事件被记录在Twitter上的一段视频中。Desmond表示,Translink将继续调查此次攻击并减轻由此造成的任何损失。同时,中转站的Compass自动售货机和感应支付门已恢复服务。Egregor这个名字是一个神秘的术语,意指一群人的集体能量或力量,自从9月和10月首次在网上被发现以来一直很活跃。本周早些时候,连接到公司网络的设备和服务器在Kmart攻击中被加密,导致后端服务瘫痪。10月,Egregor还声称入侵了游戏巨头Ubisoft,窃取了10月29日发布的《看门狗:军团》的源代码。它还挑出了游戏创作者Crytek,后者与《命运竞技场》和《战争前线》等游戏的创作有关.Egregor最近也成为头条新闻,因为它声称对10月15日的第一次Barnes&Noble网络攻击负责。该书店在一封电子邮件通知中警告客户,它已被黑客攻击,导致未经授权访问某些Barnes&Noble系统。本文翻译自:https://threatpost.com/vancouver-metro-egregor-ransomware/161892/
