智利零售龙头Cencosud遭勒索软件攻击

黑客为了达到恐吓取财的目的,滥用打印机印出勒索消息的情况时有耳闻。在台湾,2017年2月有46所学校的打印机,出现黑客的诈骗勒索信,而今年6月更有研究单位指出,台湾打印机曝险的数量全球第3,滥用打印机的攻击事件相当值得我们关注。最近,极为频繁的勒索软件攻击事件中,也出现黑客利用企业环境里的打印机,将勒索消息输出,对受害者施压的情况。根据安全新闻网站Bleeping Computer的报道,智利零售业龙头Cencosud于11月14日遭到Egregor勒索软件攻击,不只旗下的商店门店运行受到波及,店内的收银机(POS)计算机文件被加密后,也出现从收据印列表机陆续印出勒索消息的现象。

Cencosud是拉丁美洲的跨国大型零售集团,拥有超过14万名员工,去年盈收达到150亿美元。该公司旗下包含了Easy居家用品店、Jumbo超市、巴黎百货公司等,门店遍及阿根廷、巴西、智利、哥伦比亚,以及秘鲁等国家。

这家零售集团遭到勒索软件攻击之后的情况究竟如何?有数名安全人员通过照片及视频,记录他们看到的现象。例如,安全研究员Lucas Aie于推特上发布照片,指出该公司一家位于阿根廷首都布宜诺斯艾利斯的门店摆出告示,表示因为系统出现问题,他们不能接受客户使用Cencosud信用卡付款,同时该门店也无法接受退货或是网络下单。不过,对于陈列告示的店家信息,这名研究员并未表明更多细节。

Sobre el#Ransomwareen#Cencosud, asíestáoperando la sucursal Boedo de@EasyArgen estos momentos, afectando el negocio y la atención a clientes.pic.twitter.com/RLumHdJBzY

—Lucas Aie (@Lucasaie84)November 14, 2020

不只有店家发布公告,还有安全人员记录店家内部发生的乱象,足见此起攻击事件所带来的冲击。拉丁美洲零售系统企业Falabella网页安全工程师Irlenys Tersek录下了一段视频,内容是受害门店POS机台的计算机资料被加密后,勒索软件从热感式收据打印机输出勒索消息。

El#ransomwareque le pegóa Cencosud es#Egregor. La ransom note empezóa salir en las impresoras de varios locales de Argentina y Chilepic.twitter.com/k1Ps4IDUyq

—Irlenys (@Irlenys )November 15, 2020

在视频里,我们看到打印机先是迅速印出似乎是解密密钥的一长串内容,接着是黑客Egregor的署名,以及勒索消息,虽然打印的速度很快,但大致上能看得出黑客组织的名称,还有要求Cencosud必须在3天内向黑客联系等内容。但这样的消息究竟是如何输出到打印机?这名网页安全工程师并未进一步说明。

由于视频里打印机输出内容的速度非常快,很难看清楚完整的内容,对此,我们在网络上搜索相关的信息,发现有一家阿根廷安全公司Segu-Info提供勒索消息的截屏。同时,这家公司也提供入侵指标(IoC),让当地商家能够加以防范。