Un attacco ransomware ha paralizzato le attività di TransLink, azienda per il trasporto pubblico della città di Vancouver (Canada). L’attacco è stato sferrato il 1° dicembre e ha impedito ai cittadini di Vancouver di sfruttare le tessere della metro Compass o pagare biglietti con i sistemi di bigliettazione dedicati.
Inizialmente TransLink ha indicato l’incidente come qualcosa legato ad una problematica tecnica che si era prolungata più del previsto, ma l’organo di stampa CITY NEWS 1130 ha individuato la reale natura del problema, obbligando l’agenzia ad ammettere la verità.
“Siamo in grado di confermare che TransLink è stata bersaglio di un attacco ransomware alle nostre infrastrutture IT”, ha riferito Kevin Desmond, CEO di TransLink, dopo le notizie riportate da CITY NEWS 1130.
Desmond non ha rivelato il nome del ransomware e dei cybercriminali che sono riusciti a metter in ginocchio il sistema ma ha confermato che gli attacker hanno inviato le richieste di riscatto sulle stampanti dell’agenzia. Stando a quanto è possibile vedere dalle note stampate con la richiesta di riscatto, i sistemi di TransLink sono stati infettati con un ransomware noto come Egregor. Questo tipo di malware viene in genere diffuso violando la rete e, una volta che i dati dell’obiettivo sono stati esfiltrati, concede alla vittima 72 ore di tempo per pagare il riscatto prima che le informazioni rubate diventino di dominio pubblico. Nel caso in cui le vittime si rifiutassero di pagare il riscatto, i loro nomi e i collegamenti per scaricare i dati aziendali riservati verrebbero pubblicati sul sito preposto alla fuga di notizie creato dagli attaccanti.
Ransom letter that’s been rolling off the printers at @TransLink.
Sources tell me, at this point, @TransLink does NOT intend to pay.But a cyber security expert we spoke to says this is a sophisticated new type of ransomware attack… and many victims do pay.@GlobalBC pic.twitter.com/2tYLy4lZkG
— Jordan Armstrong (@jarmstrongbc) December 4, 2020
Anche in Sud America è stato portato a termine un attacco di questo tipo contro Cencosud, importante catena di vendite al dettaglio. I comuni attacchi ransomware sono stati sostituiti, negli ultimi anni, da attacchi mirati contro aziende e settori specifici: gli attaccanti non solo minacciano di criptare i dati ma pubblicano online informazioni riservate.
El #ransomware que le pegó a Cencosud es #Egregor. La ransom note empezó a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com/k1Ps4IDUyq
— Irlenys (@Irlenys) November 15, 2020
TransLink nel frattempo è riuscita a ripristinare il funzionamento delle biglietterie elettroniche e la funzionalità Tap to Pay per passare attraverso i tornelli. Da tempo circolano ransomware in grado di attaccare anche NAS e dispositivi di backup.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.