Το σύστημα μεταφορών του Βανκούβερ, TransLink, επιβεβαίωσε ότι η συμμορία του Egregor ransomware που παραβίασε το δίκτυό του στις αρχές του Δεκεμβρίου 2020, απέκτησε επίσης πρόσβαση στα τραπεζικά στοιχεία και τους αριθμούς κοινωνικής ασφάλισης των υπαλλήλων του.
Η TransLink ανακοίνωσε την 1η Δεκεμβρίου 2020 ότι το δίκτυο μεταφορών αντιμετώπιζε προβλήματα με τα συστήματα πληροφορικής του, ύστερα από κυβερνοεπίθεση. Αυτά τα προβλήματα επηρέασαν τα τηλέφωνα και τις διαδικτυακές υπηρεσίες της εταιρείας, καθώς και την ικανότητα των πελατών να πληρώνουν με πιστωτική ή χρεωστική κάρτα. Ωστόσο, δεν επηρεάστηκαν οι υπηρεσίες μεταφορών από τα προβλήματα που προκάλεσε η ransomware επίθεση.
Η TransLink ανέφερε σε σχετική της δήλωση τα εξής: «Τώρα είμαστε σε θέση να επιβεβαιώσουμε ότι εταιρεία υπήρξε στόχος μιας ransomware επίθεσης, με αποτέλεσμα να επηρεαστούν ορισμένες από τις υποδομές πληροφορικής μας.»
Όπως ανακάλυψε το BleepingComputer, κατά τη διάρκεια της επίθεσης, οι χειριστές του Egregor ransomware χρησιμοποίησαν τους εκτυπωτές της εταιρείας, για να εκτυπώσουν σημειώματα λύτρων. Πρόκειται για μια τακτική που η συγκεκριμένη συμμορία χρησιμοποίησε και όταν παραβίασε το δίκτυο του γίγαντα λιανικής “Cencosud” τον Νοέμβριο του 2020.
Παρόλο που αμέσως μετά την ανακάλυψη της επίθεσης, εκπρόσωποι της TransLink δήλωσαν ότι δεν υπήρχε λόγος ανησυχίας περί παραβίασης προσωπικών δεδομένων πελατών, φαίνεται ότι δεν ισχύει το ίδιο και για τους υπαλλήλους.
Η TransLink ενημέρωσε τους υπαλλήλους με ένα εσωτερικό email ότι οι χειριστές του Egregor απέκτησαν πρόσβαση στα συστήματα της εταιρείας και πιθανώς αντέγραψαν αρχεία από κάποιες μονάδες δίσκου. Σύμφωνα με το email, οι μονάδες δίσκου, στις οποίες απέκτησαν πρόσβαση οι χάκερς, περιέχουν πληροφορίες μισθοδοσίας, τραπεζικά στοιχεία και αριθμούς κοινωνικής ασφάλισης των υπαλλήλων των TransLink, Coast Mountain Bus Company (CMBC) και Metro Vancouver Transit Police.
Επιπλέον, η εταιρεία τόνισε ότι εξακολουθεί να εργάζεται για τον εντοπισμό των υπαλλήλων που επηρεάζονται, αλλά και των αρχείων που ανοίχτηκαν ή αντιγράφηκαν από τους εισβολείς. Καλεί επίσης όλους τους υπαλλήλους να υποβάλλουν αίτηση για δωρεάν διετή παρακολούθηση πίστωσης, το συντομότερο δυνατό.
Αξίζει να σημειωθεί ότι τα περισσότερα από τα συστήματα της TransLink εξακολουθούν να βρίσκονται εκτός λειτουργίας μετά την ransomware επίθεση, συμπεριλαμβανομένων των δεδομένων GPS και των συστημάτων παρακολούθησης και αναφοράς, με τους τεχνικούς της εταιρείας να εργάζονται για την άμεση αποκατάστασή τους.
Έτσι, συνιστάται στους πελάτες που θέλουν να παρακολουθούν λεωφορεία να χρησιμοποιούν το Google Trip Planner, έως ότου αποκατασταθούν τα συστήματα παρακολούθησης.
Η συμμορία του Egregor ransomware ξεκίνησε τις «επιχειρήσεις» της τον Σεπτέμβριο του 2020, την ίδια δηλαδή περίοδο που η συμμορία του Maze σταμάτησε να λειτουργεί, με πολλούς από τους συνεργάτες του Maze να ενσωματώνονται στην συμμορία του Egregor.
Η συμμορία του Egregor έχει συνεργάτες που εισβάλλουν σε δίκτυα στόχων και αναπτύσσουν ransomware payloads, κερδίζοντας το 70% των πληρωμών λύτρων, με τους χειριστές του Egregor να λαμβάνουν μερίδιο εσόδων 30%. Οι συνεργάτες που εισβάλλουν στα δίκτυα των θυμάτων, κλέβουν αρχεία προτού κρυπτογραφήσουν συσκευές και τα χρησιμοποιούν για να εκβιάσουν στη συνέχεια τα θύματα με διαρροή δεδομένων, σε περίπτωση που αυτά αρνηθούν να πληρώσουν τα απαιτούμενα λύτρα.
Από τον Σεπτέμβριο, οι συνεργάτες της Egregor έχουν παραβιάσει και κρυπτογραφήσει τα συστήματα πολλών εταιρειών και οργανισμών υψηλού προφίλ, συμπεριλαμβανομένων των Ubisoft, Kmart, Barnes and Noble, Cencosud και Crytek.
