溫哥華地鐵遭到了Egregor勒索軟件的破壞
使用Egregor勒索軟件的攻擊者在最初幾個(gè)月的活動(dòng)中表現(xiàn)的非常的活躍。在針對(duì)被攻擊的美國(guó)零售商Kmart之后,Egregor團(tuán)伙還用勒索軟件攻擊擾亂了溫哥華地鐵系統(tǒng)。
加拿大城市公共交通網(wǎng)絡(luò)Translink周四其首席執(zhí)行官Kevin Desmond在Twitter上聲明證實(shí),“ 我們的一些IT基礎(chǔ)設(shè)施成為了勒索軟件攻擊的目標(biāo),包括通過(guò)打印與Translink進(jìn)行通信的信息。”
據(jù)媒體報(bào)道,這次攻擊發(fā)生在12月1日,導(dǎo)致溫哥華的居民和其他公共交通服務(wù)的用戶(hù)無(wú)法使用他們的Compass地鐵卡,也無(wú)法通過(guò)該機(jī)構(gòu)的Compass售票亭購(gòu)買(mǎi)新票。在被當(dāng)?shù)囟嗉倚侣剻C(jī)構(gòu)追問(wèn)真實(shí)情況之前,Translink公司的官員兩天來(lái)一直避免承認(rèn)此次攻擊事件,將其說(shuō)成是技術(shù)問(wèn)題。
當(dāng)?shù)仉娕_(tái)新聞臺(tái)News 1130的高級(jí)新聞?dòng)浾進(jìn)artin MacMahon在推特上說(shuō),“ 通過(guò)我和我的同事@pjimmyradio合作,我們可以確認(rèn),TransLink已經(jīng)被黑客攻擊,我們的信息來(lái)自于交通局內(nèi)部的多個(gè)消息源,他們已經(jīng)與我們分享了勒索信。”
雖然官方并沒(méi)有出來(lái)說(shuō)Egregor要對(duì)這次攻擊負(fù)責(zé),而且使用勒索軟件的黑客也沒(méi)有認(rèn)罪,但伴隨著攻擊而來(lái)的勒索說(shuō)明卻指出了該組織是罪魁禍?zhǔn)住?/p>
另一家本地新聞媒體Global BC的記者喬丹-阿姆斯特朗(Jordan Armstrong)周五凌晨在推特上發(fā)布了一張勒索紙條的照片,稱(chēng)它是"從TransLink的打印機(jī)上打印出來(lái)"的。
據(jù)消息,在這一問(wèn)題上,TransLink并不打算支付贖金。但我們采訪的一位網(wǎng)絡(luò)安全專(zhuān)家說(shuō),這是一種復(fù)雜的新型勒索軟件攻擊,并且許多受害者確實(shí)都支付了贖金。
勒索說(shuō)明的威脅信息是:黑客要向媒體以及客戶(hù)和合作伙伴公布從Translink盜取的數(shù)據(jù),這樣此次攻擊就會(huì)被廣為人知,這也是Egregor的一個(gè)特點(diǎn)。該惡意軟件采用的策略是在加密所有文件之前,先將企業(yè)信息進(jìn)行竊取,并威脅其將會(huì)把數(shù)據(jù)進(jìn)行公布。
根據(jù)BleepingComputer的報(bào)道,該組織也是目前唯一已知的勒索軟件,它運(yùn)行后會(huì)導(dǎo)致企業(yè)的打印機(jī)不斷打印出勒索票據(jù)。同樣的事情也發(fā)生在11月中旬對(duì)南美零售商Cencosud的攻擊中,這一攻擊被記錄在Twitter上的視頻中。
Desmond表示,Translink將繼續(xù)調(diào)查此次攻擊,并減少攻擊造成的所有損失。同時(shí),Compass自動(dòng)售貨機(jī)和交通站的感應(yīng)支付門(mén)的服務(wù)已經(jīng)恢復(fù)。
Egregor這個(gè)名字指的是一個(gè)神秘的術(shù)語(yǔ),意在表示一群人的集體能量或力量,自9月和10月首次在網(wǎng)絡(luò)上被發(fā)現(xiàn)以來(lái)一直活動(dòng)很頻繁。本周早些時(shí)候,在Kmart的攻擊中對(duì)連接到公司網(wǎng)絡(luò)的設(shè)備和服務(wù)器進(jìn)行了加密,造成后端服務(wù)癱瘓。
10月,Egregor還聲稱(chēng)攻擊了游戲巨頭育碧,竊取了10月29日發(fā)布的《看門(mén)狗:軍團(tuán)》的源代碼。它還單獨(dú)對(duì)游戲創(chuàng)作者Crytek進(jìn)行了攻擊,該作者與Arena of Fate和Warface等游戲作品的創(chuàng)作有關(guān)。
Egregor最近也成為頭條新聞,因?yàn)樗暦Q(chēng)對(duì)10月15日首次發(fā)生的Barnes & Noble網(wǎng)絡(luò)攻擊事件負(fù)責(zé)。這家書(shū)店曾在發(fā)給客戶(hù)的電子郵件通知中警告說(shuō),它被黑客攻擊了,導(dǎo)致黑客未經(jīng)授權(quán)非法訪問(wèn)了Barnes & Noble公司的某些系統(tǒng)。
參考及來(lái)源:https://threatpost.com/vancouver-metro-egregor-ransomware/161892/
原文來(lái)源:嘶吼專(zhuān)業(yè)版
