使用Egregor勒索软件的攻击者在最初几个月的活动中表现的非常的活跃。在针对被攻击的美国零售商Kmart之后，Egregor团伙还用勒索软件攻击扰乱了温哥华地铁系统。

加拿大城市公共交通网络Translink周四其首席执行官Kevin Desmond在Twitter上声明证实，

据媒体报道，这次攻击发生在12月1日，导致温哥华的居民和其他公共交通服务的用户无法使用他们的Compass地铁卡，也无法通过该机构的Compass售票亭购买新票。在被当地多家新闻机构追问真实情况之前，Translink公司的官员两天来一直避免承认此次攻击事件，将其说成是技术问题。

当地电台新闻台News 1130的高级新闻记者Martin MacMahon在推特上说，

虽然官方并没有出来说Egregor要对这次攻击负责，而且使用勒索软件的黑客也没有认罪，但伴随着攻击而来的勒索说明却指出了该组织是罪魁祸首。

另一家本地新闻媒体Global BC的记者乔丹-阿姆斯特朗(Jordan Armstrong)周五凌晨在推特上发布了一张勒索纸条的照片，称它是"从TransLink的打印机上打印出来"的。

据消息，在这一问题上，TransLink并不打算支付赎金。但我们采访的一位网络安全专家说，这是一种复杂的新型勒索软件攻击，并且许多受害者确实都支付了赎金。

勒索说明的威胁信息是：黑客要向媒体以及客户和合作伙伴公布从Translink盗取的数据，这样此次攻击就会被广为人知，这也是Egregor的一个特点。该恶意软件采用的策略是在加密所有文件之前，先将企业信息进行窃取，并威胁其将会把数据进行公布。

根据BleepingComputer的报道，该组织也是目前唯一已知的勒索软件，它运行后会导致企业的打印机不断打印出勒索票据。同样的事情也发生在11月中旬对南美零售商Cencosud的攻击中，这一攻击被记录在Twitter上的视频中。

Desmond表示，Translink将继续调查此次攻击，并减少攻击造成的所有损失。同时，Compass自动售货机和交通站的感应支付门的服务已经恢复。

Egregor这个名字指的是一个神秘的术语，意在表示一群人的集体能量或力量，自9月和10月首次在网络上被发现以来一直活动很频繁。本周早些时候，在Kmart的攻击中对连接到公司网络的设备和服务器进行了加密，造成后端服务瘫痪。

10月，Egregor还声称攻击了游戏巨头育碧，窃取了10月29日发布的《看门狗：军团》的源代码。它还单独对游戏创作者Crytek进行了攻击，该作者与Arena of Fate和Warface等游戏作品的创作有关。

Egregor最近也成为头条新闻，因为它声称对10月15日首次发生的Barnes & Noble网络攻击事件负责。这家书店曾在发给客户的电子邮件通知中警告说，它被黑客攻击了，导致黑客未经授权非法访问了Barnes & Noble公司的某些系统。

本文翻译自：https://threatpost.com/vancouver-metro-egregor-ransomware/161892/