Egregor: il virus delle stampanti attacca la Metro di Vancouver
Prima hanno attaccato il gigante sudamericano dei supermercati Cencosud, poi hanno reso pubblico il loro minaccioso "contratto", ora gli hacker del Team Egregor hanno infettato con il loro ransomware TransLink.
L’Egregor Team ci ha preso gusto: dopo il gigante sudamericano della grande distribuzione Cencosud ora gli hacker si sono spostati in Canada, dove hanno attaccato e infettato la rete di TransLink, azienda che grstisce la metropolitana di Vancouver.
Il meccanismo di questo gruppo di cybercriminali è sempre lo stesso: l’infezione del malware parte da una email di phishing alla quale un dipendente abbocca, poi c’è il ricatto con richiesta di riscatto. O, come lo chiamano loro, il “contratto“: i dati dell’azienda vengono copiati su un server remoto e poi criptati sui server locali dell’azienda che, per potervi accedere nuovamente, deve pagare un riscatto milionario. TransLink non ha comunicato né a quanto ammonta il riscatto, né quali dati sono stati rubati. Ma la gravità dell’attacco è confermata da due sintomi già visti nel recentissimo passato: i sistemi elettronici di pagamento (in questo caso dei biglietti della metro) sono stati bloccati per sicurezza e le stampanti degli uffici hanno iniziato a stampare l’ormai famoso messaggio del ransomware Egregor.
Il messaggio di Egregor
Jordan Armstrong, giornalista dell’emittente televisiva canadese Global News, ha pubblicato su Twitter lo stampato che contiene il messaggio con richiesta di riscatto da parte del ransomware. Un messaggio identico, parola per parola, a quello inviato alle stampanti di Cencosud: “La tua rete è stata hackerata, i tuoi computer e i tuoi server sono bloccati, i tuoi dati privati sono stati scaricati“.
Segue la minaccia di pubblicare i dati se la vittima non si mette in contatto con gli hacker e persino un breve “hot to” per farlo: TransLink deve scaricare il browser Tor e connettersi al sito Web ufficiale dell’Egregor Team per ricevere ulteriori comunicazioni.
TransLink non vuole pagare
TransLink non ha rivelato a quanto ammonta la richiesta di riscatto, ma il Team Egregor non si muove per meno di una cifra a sei zeri. Spesso il riscatto supera i 10 milioni di dollari. E, non pagandolo, TransLink ha già pagato in altro modo con danni economici ingenti: solo nelle ultime ore i sistemi di pagamento elettronici sono stati sbloccati, mentre non è ancora noto se e dove i cybercriminali abbiano diffuso le prime informazioni rubate.
Il contratto di Egregor
Il Team Egregor è un gruppo di hacker con ottime capacità tecniche, ma anche comunicative. Sembra infatti avere un vero e proprio “ufficio stampa“, tanto che il 30 novembre ha pubblicato un vero e proprio comunicato stampa nel quale mette nero su bianco quello che chiama “il contratto“.
Secondo questo contratto, a dir poco unilaterale, la vittima ha tre giorni di tempo per contattare il Team con il metodo già descritto. Se non lo fa gli hacker procedono a pubblicare i primi dati rubati: tra l’1% e il 2%. Se alla fine la vittima non accetta il contratto (cioè se non paga il riscatto milionario) tutti i dati vengono venduti al miglior offerente.
Tra i dati di TransLink potrebbe esserci di tutto, compresi i dati degli abbonati e quelli delle carte di pagamento da loro usate.
