|
TransLink, 랜섬웨어 데이터 도난 확인 후 시스템 복원 중 침해사고분석팀 2021.01.05 |
|
|
메트로 밴쿠버의 교통 기관 TransLink는 2020년 12월 초에 네트워크를 침해한 Egregor 랜섬웨어 운영자가 직원의 은행 및 사회 보장 정보에 잠재적으로 액세스하여 도난했다고 밝혔다.
TransLink는 2020년 12월 1일, 사이버 공격 이후 운송 네트워크에서 컴퓨팅 시스템에 문제가 발생했다고 발표했다.
이러한 정보 기술 문제는 회사의 전화와 온라인 서비스뿐만 아니라 소비자가 신용카드나 직불카드로 요금을 지불하는 것에 영향을 미쳤다. TransLink의 대중 교통 서비스는 랜섬웨어 공격으로 IT 문제에 영향을 받지 않았다.
TransLink는 사건 이후 성명에서 "우리는 이제 TransLink가 일부 IT 인프라에 대한 랜섬웨어 공격의 대상이 되었음을 확인할 수 있는 위치에 있다. 이 공격에는 인쇄된 메시지를 통한 TransLink와의 통신이 포함된다."라고 밝혔다.
이번 공격에서 랜섬웨어 운영자들은 Egregor 랜섬웨어의 특징인 회사의 프린터를 사용하여 랜섬 노트를 인쇄했다.
직원 은행 정보 도난 공격이 발견된 직후 TransLink 관계자는 고객 정보에 대해 "개인 데이터가 유출될 염려가 없다"고 말했지만 직원에게는 그렇지 않은 것으로 보인다.
TransLink는 Global News에서 본 사내 이메일에서 직원들에게 Egregor 운영자들이 "제한된 네트워크 드라이브 및 기타 여러 네트워크 드라이브에서 파일을 액세스하고 복사했을 수 있다"고 말했다.
이메일에 따르면 액세스 된 드라이브에는 TransLink, Coast Mountain Bus Company (CMBC) 및 Metro Vancouver Transit Police 직원의 급여 정보가 포함되어 있다.
TransLink는 "이러한 제한된 네트워크 드라이브에는 은행 정보 및 일부 사회 보험 번호가 있는 파일이 포함되어 있다."라고 덧붙였다.
회사는 공격 중에 드라이브에 액세스했다는 증거를 가지고 있지만, 영향을 받은 직원과 공격자가 열거나 복사한 파일을 식별하는 작업을 계속하고 있다.
Translink 대변인 Ben Murphy는 Global News와의 인터뷰에서 "중요한 것은 TransLink에서 Compass 고객 요금 지불 정보를 저장하거나 액세스할 수 없다는 것이다."라고 말했다.
현재 TransLink 시스템의 대부분은 실시간 GPS 데이터, 추적 및 보고 시스템 등 랜섬웨어 공격 이후에도 여전히 다운되어 있으며 회사 기술자들은 가능한 한 빨리 복구하기 위해 노력하고 있다.
[그림1. Translink 대변인 Ben Murphy의 트위터]
Egregor는 대상 네트워크를 공격하고 랜섬웨어 페이로드를 배포하는 계열사와 파트너 관계를 맺어 30%의 수익률을 올린다.
피해자 네트워크에 침투하는 계열사들은 Egregor 랜섬웨어를 이용해 기기를 암호화하기 전에 파일을 훔치고, 몸값을 지불하지 않으면 정보가 유출될 수 있다는 위협을 준다.
Egregor는 Maze가 운영을 중단한 후 2020년 9월에 운영을 시작했으며, 많은 Maze 계열사들이 Egregor로 전환했다.
9월부터 Egregor 계열사는 Ubisoft, Kmart, Barnes and Noble, Cencosud, Crytek를 포함한 전 세계적으로 유명한 목표물의 시스템을 침해하고 암호화했다.
출처 https://www.bleepingcomputer.com/news/security/translink-confirms-ransomware-data-theft-still-restoring-systems/ |
