Ransomware Egregor drukuje żądania okupu

20 listopada 202021 listopada 2020 Rafał Skrzypek Ameryka Łacińska, Cencosud, druk, drukarki, drukarki termiczne, Egregor, okup, ransomware

Niedawno świat obiegła informacja o ataku ransomware na właściciela sieci detalicznych w Ameryce Łacińskiej, firmę Cencosud. Jak się okazuje, żądanie okupu, które otrzymali właściciele, umieszczono nie tylko na zaszyfrowanych komputerach. Egregor, bo tak nazywa się narzędzie cyberprzestępców, drukował je na każdej dostępnej w sieci drukarce. Nawet na tych termicznych do paragonów w sklepach.

Cencosud to jedna z największych firm detalicznych w Ameryce Łacińskiej, zatrudniająca ponad 140 000 pracowników. W 2019 roku osiągnęła ona przychód w wysokości 15 mld dolarów. Zarządza wieloma sklepami w Argentynie, Brazylii, Chile, Kolumbii i Peru, w tym z artykułami gospodarstwa domowego Easy, supermarketami Jumbo i paryskimi domami towarowymi.

ransomware Egregor — foto: Christiaan Colen, CC BY-SA 2.0

W poprzedni weekend Cencosud padł ofiarą ataku ransomware, który zaszyfrował urządzenia w punktach sprzedaży detalicznej. Według argentyńskiej Clarín sklepy są nadal otwarte, ale część usług przestała działać. Przykładowo, sklepy Easy w Buenos Aires wystawiły tablice ostrzegające klientów, że nie akceptują karty kredytowej „Cencosud Card”, nie przyjmują zwrotów, a odbiór zakupów internetowych wstrzymano z powodu problemów technicznych.

Nowe metody

Ransomware Egregor, który zaatakował Cencosud, wykorzystuje nowatorskie podejście, aby zwrócić uwagę ofiary po ataku – drukuje seriami żądania okupu na wszystkich dostępnych drukarkach. Atakujący wiedzą, że wiele firm stara się ukryć takie problemy i nie upubliczniać ich. Podmioty często nie informują nawet pracowników o zaistniałej sytuacji w obawie przed spadkiem cen akcji i nadszarpnięciem reputacji. Drukując żądanie okupu na drukarkach dostępnych w sieci firmowej, cyberprzestępcy chcą wywrzeć presję na ofierze. Im więcej osób dowie się o tym, tym przedsiębiorca będzie chciał szybciej zapłacić.

Co ciekawe, w kodzie ransomware Egregor nie ma nawet linijki odpowiedzialnej za to zadanie. Atakujący najprawdopodobniej uruchamiają skrypt zaraz po zaszyfrowaniu plików na przejętych maszynach. Ponieważ do sieci podpięte są też terminale kasowe, w przypadku Cencosud skończyło się drukowaniem żądania okupu na taśmie do paragonów. Film z tego zdarzenia nagrała jedna z pracownic i tak właśnie znalazł się on na Twitterze. Wydruk tysięcy kopii na wszystkich dostępnych urządzeniach jest dość spektakularnym wydarzeniem i raczej trudno, aby umknął czyjejkolwiek uwadze.

El #ransomware que le pegó a Cencosud es #Egregor. La ransom note empezó a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com/k1Ps4IDUyq
— Irlenys (@Irlenys) November 15, 2020

Źródło: Bleepingcomputer

Rafał Skrzypek

Miłośnik nowoczesnych technologii, głównie nowych rozwiązań IT. Redaktor w czasopismach Gambler, Enter, PC Kurier, Telecom Forum, Secret Service, Click!, Komputer Świat Gry, Play, GameRanking. Wiele lat spędził w branży tłumaczeniowej – głównie gier i programów użytkowych. W wolnych chwilach lata szybowcem, jeździ na rowerze i pochłania duże ilości książek.