Il sistema di trasporto pubblico della Société de transport de Montréal (STM) di Montreal è stato colpito da un attacco ransomware RansomExx che ha avuto un impatto sui servizi e sui sistemi online.
n
Il 19 ottobre, STM ha subito un’interruzione che ha interessato i suoi sistemi IT, il sito Web e l’assistenza clienti.
n
Sebbene queste interruzioni non abbiano influenzato il funzionamento degli autobus o dei sistemi metropolitani, le persone con disabilità che si affidano al servizio di paratransit porta a porta di STM sono interessate poiché utilizza un sistema di registrazione online.
n
Martedì mattina STM ha annunciato che le interruzioni sono state causate da un ‘virus informatico che ha causato un grave guasto su varie piattaforme “.
n
Più tardi quella sera, STM ha confermato di aver subito un attacco ransomware e sta lavorando con le forze dell’ordine e esperti esterni per ripristinare i propri sistemi e indagare sull’attacco.
n
“La Société de transport de Montréal (STM) desidera informare i propri clienti che il grave guasto al computer che ha subito dal 19 ottobre pomeriggio è la conseguenza di un tipo di ransomware, che prende di mira tutte le applicazioni, nonostante le varie difese in atto per affrontare questo tipo di eventualità, ”
n
Il sito web di STM è ancora inattivo, ma i visitatori vengono ora reindirizzati a www.lastm.info, dove vengono pubblicate informazioni sui servizi di trasporto pubblico e sull’attacco.
n
n
RansomExx gang dietro l’attacco
n
Secondo una fonte familiare con l’accaduto, STM ha subito un attacco da parte dell’operazione ransomware RansomExx.
n
RansomExx è una versione rinominata del ransomware Defray777 che diventa più attivo a giugno, con attacchi contro organizzazioni come il Texas Department of Transportation (TxDOT), Konica Minolta, IPG Photonics e, più recentemente, Tyler Technologies.
n
Quando conducono attacchi, gli operatori RansomExx comprometteranno una rete e ruberanno file non crittografati mentre si diffondono lateralmente attraverso il sistema. Una volta ottenuto l’accesso al controller di dominio di Windows, distribuiscono il ransomware su tutti i dispositivi disponibili.
n
n
Non è noto se STM sia stato in contatto con gli operatori di ransomware o l’importo del riscatto.