Киберпреступники знают, что руководство компаний, как правило, старается скрыть факт атаки вымогательского ПО не только от широкой общественности, но и от своих сотрудников, опасаясь падения стоимости акций и ущерба для репутации. Поэтому для оказания дополнительного давления на руководство компаний операторы Egregor стараются привлечь к инциденту максимум внимания, заставляя все подключенные к зараженной сети принтеры циклически печатать требование выкупа.
Впервые о том, что Egregor заставляет принтеры самопроизвольно печатать, стало известно после атаки вымогателя на одну из крупнейших в Южной Америке ритейлеров, компанию Cencosud.
Как демонстрирует видео ниже, послания хакеров распечатываются даже на кассовых чеках.
El #ransomware que le pegó a Cencosud es #Egregor. La ransom note empezó a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com/k1Ps4IDUyq
— Irlenys (@Irlenys) November 15, 2020
Если говорить точнее, то команду печатать принтерам дает не исполняемый файл Egregor. В конце атаки операторы вымогателя применяют специальный скрипт. Что это за скрипт, пока не установлено.
Источник securitylab.ru