Il ransomware che stampa la richiesta di riscatto

La notizia che arriva dal Canada incarna alla perfezione l’esempio di quanto un attacco ransomware possa avere conseguenze dirette su una comunità intera. Quello che ha colpito l’infrastruttura informatica di TransLink, società pubblica di trasporti che opera a Vancouver, ha creato non pochi grattacapi a chi per muoversi in città utilizza mezzi come bus e treni.

Ransomware: il caso TransLink di Vancouver

La violazione è avvenuta nella giornata di martedì 1 dicembre. In ginocchio il sistema Compass su cui poggiano tutti i chioschi per la vendita dei biglietti e i dispositivi per la validazione delle tessere acquistate per gli spostamenti. In un primo momento l’incidente di sicurezza è stato etichettato come un prolungato problema tecnico di routine, salvo poi avere conferma di quanto accaduto prima dalla stampa locale e solo successivamente da fonti ufficiali. Queste le parole del CEO Kevin Desmond.

Ora siamo nella posizione per confermare che TransLink è stato bersaglio di un attacco ransomware diretto ad alcune delle nostre infrastrutture IT.

UPDATE: Credit card and debit card transactions are once again able to be processed at Compass vending machines. Customers who recently purchased monthly passes or stored value will also soon see the credit loaded onto their Compass Card.

— News from TransLink (@TransLinkNews) December 4, 2020

Non è dato a sapere quale gruppo di cybercriminali abbia messo a segno il colpo, ma dalle prima analisi emerge qualche collegamento con il ransomware noto come Egregor. La richiesta per il pagamento di un riscatto è testimoniata da alcuni post comparsi sui social. La modalità scelta è piuttosto anomala (anche se non una prima assoluta): è stata recapitata attraverso messaggi stampati su carta direttamente negli uffici della società.

Ransom letter that’s been rolling off the printers at @TransLink.
Sources tell me, at this point, @TransLink does NOT intend to pay.

But a cyber security expert we spoke to says this is a sophisticated new type of ransomware attack… and many victims do pay.@GlobalBC pic.twitter.com/2tYLy4lZkG

— Jordan Armstrong (@jarmstrongbc) December 4, 2020

Un vero e proprio foglio di istruzioni con il da farsi per evitare che i dati privati sottratti vengano pubblicati. Sono concessi tre giorni di tempo. Dalle informazioni trapelate pare che TransLink abbia scelto di non cedere all’estorsione. Il network Compass è stato ripristinato e da un comunicato si apprende che le informazioni riguardanti i metodi di pagamento (carte di credito ecc.) non sono state compromesse.