La operación de ransomware Egregor atacó a la agencia de transporte TransLink del Metro de Vancouver provocando interrupciones en los servicios y los sistemas de pago.
El 1 de diciembre, TransLink's anunció que tenía dificultades con sus sistemas de información que afectaban a los teléfonos móvlies, los servicios en línea y el pago con tarjetas de crédito o débito. Al restaurar los sistemas de pago, fue cuando TransLink emitió un comunicado en el que reconocía haber sido víctima de un ataque de ransomware que fue el responsable de los problemas de TI.
"Ahora estamos en condiciones de confirmar que TransLink fue el objetivo de un ataque de ransomware en parte de nuestra infraestructura de TI. Este ataque incluye comunicaciones a TransLink a través de un mensaje impreso", revelaron en un comunicado.
El ransomware Egregor estaba detrás del ataque de TransLink
El periodista de Global BC Jordan Armstrong tuiteó una imagen de la nota de rescate y declaró que las impresoras TransLink estaban imprimiendo sin parar estas notas de rescate.
Egregor es también el único ransomware conocido que ejecuta scripts que imprimen notas de rescate de bombas en impresoras disponibles, como lo describe Armstrong en su tweet. La pandilla de Egregor realizó esta misma táctica durante un reciente ciberataque de Cencosud, donde los máquinas expendedoras de recibos imprimían sin cesar notas de rescate para dar a conocer a todo el público que se estaba produciendo un ciberataque.
Egregor es un nuevo sistema de ciberdelincuencia organizada que se asocia con afiliados para piratear redes y desplegar su ransomware. Hasta el momento, fruto de estas asociaciones, los afiliados obtienen el 70% de los rescates exigidos y los responsables de Egregor se embolsan el 30% de estos ingresos.
Se sabe que los afiliados que comprometen una red roban archivos no cifrados, cifrándolos posteriormente con el ransomware Egregor. Posteriormente, los piratas informáticos utilizan estos archivos robados para chantajear a las víctimas amenazándolas con publicar dichos archivos.
Esta banda de ransomware comenzó a operar en septiembre de 2020 tras desapaarecer otro grupo de ransomware conocido como Maze.
(Fuente: Bleeping computer)
