Mã độc tống tiền (ransomware) Egregor đang sử dụng một cách mới khiến nạn nhân “dở khóc dở cười”: phát tán các thông điệp đòi tiền chuộc trên tất cả máy in của hệ thống bị tấn công.
Trước đây có nhiều cách để tin tặc để lại thông điệp đòi tiền chuộc. Ví dụ: hiển thị trực tiếp lên màn hình máy tính bị nhiễm, thông báo rằng các tập tin của doanh nghiệp đã bị mã hóa. Hoặc khóa toàn bộ hệ thống máy tính bàn, sau đó hiển thị một biểu tượng hình đầu sọ màu đỏ ghê rợn. Ngoài ra, tin tặc còn thực hiện các vụ tấn công từ chối dịch vụ phân tán (DDoS) hệ thống tới khi nạn nhân trả tiền chuộc.
Hẳn là những cách trên đã quá quen thuộc và nhàm chán, nên gần đây các nhóm tin tặc bắt đầu triển khai một số chiêu trò tinh vi khác. Vài ngày trước, một nhóm hacker đã chạy quảng cáo trên Facebook nhằm tạo áp lực buộc nạn nhân bị tấn công phải nhanh chóng chi tiền. Một nhóm khác thậm chí còn thuê tổng đài gọi điện cho nạn nhân đòi tiền chuộc.
Tuần trước, công ty bán lẻ đa quốc gia Cencosud có trụ sở tại Chile đã bị tấn công bởi ransomware Egregor. Tin tặc đã để lại một tập tin văn bản trên các máy tính Windows bị nhiễm, thông báo rằng dữ liệu của công ty sẽ bị chia sẻ với giới truyền thông nếu họ không chuẩn bị đàm phán trong vòng ba ngày.
Cho rằng điều đó vẫn chưa đủ thuyết phục, tin tặc đã cho các máy in ở nhiều cửa hàng bán lẻ của Cencosud tự động in liên tục thông điệp đòi tiền chuộc, ảnh hưởng nghiêm trọng đến hoạt động kinh doanh.
Thật khó để che giấu việc bị tấn công bằng ransomware Egregor khi mà toàn bộ hệ thống máy in liên tục chạy ra các thông điệp đòi tiền chuộc trước mặt khách hàng. Dù trước đó đã có nhiều thông tin về cách thức tấn công này, nhưng đến nay chúng ta mới thấy nó ảnh hưởng nghiêm trọng như thế nào.
Các băng nhóm tin tặc biết rằng nhiều doanh nghiệp luôn muốn che giấu việc bị tấn công ransomware, kể cả với nhân viên, vì sợ tin tức này ảnh hưởng đến giá cổ phiếu và danh tiếng của công ty. Nắm được điểm yếu này, nhóm tin tặc đã gây áp lực buộc nạn nhân phải giao tiền chuộc bằng cách in liên tục thông điệp tống tiền trên các máy in nội bộ của công ty sau khi tấn công và giành được quyền truy cập hệ thống.
Các hoạt động ransomware dưới dạng dịch vụ của Egregor bắt đầu phát triển mạnh mẽ từ khi nhóm hacker khét tiếng Maze ngừng hoạt động.
Một người dùng Twitter đã quay được khoảnh khắc máy in trong chuỗi cửa hàng bị nhiễm mã độc Egregor đang tự động in thông báo đòi tiền chuộc.
El #ransomware que le pegó a Cencosud es #Egregor. La ransom note empezó a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com/k1Ps4IDUyq
— Irlenys (@Irlenys) November 15, 2020
Theo BleepingComputer, không phải tập tin thực thi ransomware thực hiện lệnh in thông điệp đòi tiền chuộc. Thay vào đó, rất có thể những kẻ tấn công ransomware đã chèn thêm một đoạn mã ở phần cuối khiến toàn bộ hệ thống máy in của doanh nghiệp bị tấn công đồng loạt cho ra tin nhắn tống tiền. Tuy nhiên, tập lệnh trên như thế nào vẫn chưa được xác định.