Хакеры-вымогатели захватывают принтеры компаний и печатают на них требования выкупа
Операторы вымогательской программы Egregor стали выводить на принтеры и кассовые аппараты требования выкупа после шифрования файлов в уязвимых компаниях. Это делается, чтобы обеспечить максимальную публичность.
«Ваши файлы у нас»
Операторы шифровальщика Egregor стали применять новую тактику вымогательства: после шифрования файлов в уязвимой корпоративной сети они выводят требование выкупа на все доступные принтеры.
Подобные случаи были отмечены в южноамериканской торговой сети Cencosud — как минимум в Аргентине и Чили. Сообщение от злоумышленников выводится на всем, что способно печатать текст на бумаге, от принтеров до кассовых аппаратов.
По данным экспертов издания Bleeping Computer, злоумышленники используют отдельный скрипт для печати, который запускается уже после того, как отработал основной исполняемый файл шифровальщика.
Egregor — относительно новый шифровальщик-вымогатель, появившийся в сентябре 2020 г. Его операторы не только шифруют, но и крадут данные, требуя с жертв двойной выкуп.
Как он проникает в атакованные системы, доподлинно неизвестно. Вероятнее всего, речь идет о социальной инженерии — наиболее распространенном методе заражения сетевой инфраструктуры. К настоящему времени есть масса свидетельств тому, что Egregor работает по принципу партнерской программы, и что многие бывшие партнеры шифровальщика Maze переключились на него после того, как операторы Maze объявили о сворачивании деятельности.
Чтобы все знали
Что касается вывода требования выкупа на принтеры, то смысл этой акции заключается в повышении публичности.
Egregor ранее в 2020 г. был отмечен в атаках на такие компании как Ubisoft, Crytek, а также Barnes&Noble. Итог этих атак пока неизвестен.
«Владельцы атакованного бизнеса будут пытаться максимально скрывать факт успешной атаки, если закон не обязывает их делать что-то другое, — отмечает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — Кибератака, особенно с использованием шифровальщика, — это не только материальный, но и репутационный ущерб, который немедленно приводит еще и к снижению стоимости ценных бумаг жертв атаки. Поэтому коммерческие структуры охотнее попытаются все скрыть и решить вопрос приватным порядком, если это возможно, или вовсе проигнорировать атаку».
«Операторы Egregor, в свою очередь, пытаются сделать все, чтобы сделать атаку максимально публичной, — добавляет эксперт. — Это используется как дополнительный рычаг давления. Стоит, впрочем, напомнить, что единственный правильный способ реагировать на такие атаки — не платить. К сожалению, иногда бизнес воспринимает выплату выкупа как меньшее из зол, хотя на деле все обстоит ровно наоборот: каждая такая успешная операция — это гарантия новых атак».