Ransomware Egregor drukuje żądania okupu

Ransomware Egregor drukuje żądania okupu

20 listopada 2020 0 przez Rafał Skrzypek

Niedawno świat obiegła informacja o ataku ransomware na właściciela sieci detalicznych w Ameryce Łacińskiej, firmę Cencosud. Jak się okazuje, żądanie okupu, które otrzymali właściciele, umieszczono nie tylko na zaszyfrowanych komputerach. Egregor, bo tak nazywa się narzędzie cyberprzestępców, drukował je na każdej dostępnej w sieci drukarce. Nawet na tych termicznych do paragonów w sklepach.

Cencosud to jedna z największych firm detalicznych w Ameryce Łacińskiej, zatrudniająca ponad 140 000 pracowników. W 2019 roku osiągnęła ona przychód w wysokości 15 mld dolarów. Zarządza wieloma sklepami w Argentynie, Brazylii, Chile, Kolumbii i Peru, w tym z artykułami gospodarstwa domowego Easy, supermarketami Jumbo i paryskimi domami towarowymi.

ransomware Egregor
foto: Christiaan Colen, CC BY-SA 2.0

W poprzedni weekend Cencosud padł ofiarą ataku ransomware, który zaszyfrował urządzenia w punktach sprzedaży detalicznej. Według argentyńskiej Clarín sklepy są nadal otwarte, ale część usług przestała działać. Przykładowo, sklepy Easy w Buenos Aires wystawiły tablice ostrzegające klientów, że nie akceptują karty kredytowej „Cencosud Card”, nie przyjmują zwrotów, a odbiór zakupów internetowych wstrzymano z powodu problemów technicznych.

Nowe metody

Ransomware Egregor, który zaatakował Cencosud, wykorzystuje nowatorskie podejście, aby zwrócić uwagę ofiary po ataku – drukuje seriami żądania okupu na wszystkich dostępnych drukarkach. Atakujący wiedzą, że wiele firm stara się ukryć takie problemy i nie upubliczniać ich. Podmioty często nie informują nawet pracowników o zaistniałej sytuacji w obawie przed spadkiem cen akcji i nadszarpnięciem reputacji. Drukując żądanie okupu na drukarkach dostępnych w sieci firmowej, cyberprzestępcy chcą wywrzeć presję na ofierze. Im więcej osób dowie się o tym, tym przedsiębiorca będzie chciał szybciej zapłacić.

Co ciekawe, w kodzie ransomware Egregor nie ma nawet linijki odpowiedzialnej za to zadanie. Atakujący najprawdopodobniej uruchamiają skrypt zaraz po zaszyfrowaniu plików na przejętych maszynach. Ponieważ do sieci podpięte są też terminale kasowe, w przypadku Cencosud skończyło się drukowaniem żądania okupu na taśmie do paragonów. Film z tego zdarzenia nagrała jedna z pracownic i tak właśnie znalazł się on na Twitterze. Wydruk tysięcy kopii na wszystkich dostępnych urządzeniach jest dość spektakularnym wydarzeniem i raczej trudno, aby umknął czyjejkolwiek uwadze.

Źródło: Bleepingcomputer