메트로 밴쿠버의 교통 시스템, Egregor 랜섬웨어에 공격받아

Metro Vancouver's transit system hit by Egregor ransomware

Egregor 랜섬웨어가 메트로 밴쿠버(Metro Vancouver)의 운송 대행 업체인 TransLink를 공격해 서비스와 결제 시스템을 중단시켰습니다.

 

12월 1일, TransLink는 IT 시스템에 전화, 온라인 서비스, 신용카드 및 직불카드를 통한 요금 지불 기능에 영향을 미치는 문제가 발생했다고 밝혔습니다.

 

모든 교통 서비스는 이 IT 문제의 영향을 받지 않았습니다.

 

모든 지불 시스템을 복구한 후, TransLink는 이 IT 관련 문제가 랜섬웨어 공격으로 인해 발생했다고 밝혔습니다.

 

“TransLink의 일부 IT 인프라가 랜섬웨어의 타깃이 되었음을 확인했습니다. 공격자는 프린트한 메시지를 통해 TransLink와 연락을 시도했습니다.”

 

TransLink를 공격 악성코드는 Egregor 랜섬웨어로 밝혀져

 

GlobalBC의 리포터인 Jordan Armstrong은 랜섬노트의 사진을 트윗하며 TransLink의 프린터가 반복적으로 랜섬 노트를 인쇄하고 있다고 밝혔습니다.

 

 

<이미지 출처: https://twitter.com/jarmstrongbc/status/1334659238019223552>

 

 

Bleeping Computer는 랜섬노트를 확인 결과, 해당 공격을 실행한 그룹이 Egregor 랜섬웨어라고 밝혔습니다.

 

Armstrong이 위 트윗에서 밝힌 바와 같이, Egregor는 랜섬노트 폭탄을 인쇄하는 스크립트를 실행하는 것으로도 알려져 있습니다.

 

Egregor 그룹은 최근 Cencosud를 노린 사이버 공격에도 동일한 전략을 사용했습니다. 이 경우 영수증 프린터가 랜섬노트를 반복적으로 인쇄했습니다.

 

Egregor는 제휴 파트너가 네트워크에 침투해 랜섬웨어를 배포하는 새로운 사이버 범죄 작전입니다. 제휴 파트너는 벌어들이는 랜섬머니의 70%를 받아가고, Egregor 운영자는 30%를 갖습니다.

 

네트워크에 침투하는 Egregor의 제휴 파트너는 파일을 암호화하기 전 암호화하지 않은 파일을 훔치는 것으로 알려져 있습니다.

 

이후 피해자에게 랜섬머니를 지불하지 않을 경우 훔친 파일을 공개할 것이라 협박합니다.

 

이 랜섬웨어 그룹은 Maze 랜섬웨어 그룹이 활동을 중단한 후 2020년 9월부터 활동하기 시작했습니다.

 

공격자들은 Maze와 함께 일했던 많은 제휴 파트너가 Egregor로 옮겨와 이 새로운 작전이 많은 피해자를 양산할 수 있었다고 밝혔습니다.

 

Kmart, Cencosud, Crytek, Ubisoft, Barnes & Noble 등 세계적으로 유명한 기업도 이 랜섬웨어의 피해를 입었습니다.

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/metro-vancouvers-transit-system-hit-by-egregor-ransomware/