智利零售龍頭Cencosud遭勒索軟體攻擊，收銀機印出大量勒索訊息

駭客為了達到恐嚇取財的目的，濫用印表機印出勒索訊息的情況時有所聞。在臺灣，2017年2月有46所學校的印表機，出現駭客的詐騙勒索信，而今年6月更有研究單位指出，臺灣印表機曝險的數量全球第3，濫用印表機的攻擊事件相當值得我們關注。最近，極為頻繁的勒索軟體攻擊事件中，也出現駭客利用企業環境裡的印表機，將勒索訊息輸出，對受害者施壓的情況。根據資安新聞網站Bleeping Computer的報導，智利零售業龍頭Cencosud於11月14日遭到Egregor勒索軟體攻擊，不只旗下的商店門市運作受到波及，店內的收銀機（POS）電腦檔案被加密後，也出現從收據印列表機陸續印出勒索訊息的現象。

Cencosud是拉丁美洲的跨國大型零售集團，擁有超過14萬名員工，去年盈收達到150億美元。該公司旗下包含了Easy居家用品店、Jumbo超市、巴黎百貨公司等，門市遍及阿根廷、巴西、智利、哥倫比亞，以及秘魯等國家。

這家零售集團遭到勒索軟體攻擊之後的情況究竟如何？有數名資安人員透過照片及影片，記錄他們看到的現象。例如，資安研究員Lucas Aie於推特上張貼照片，指出該公司一家位於阿根廷首都布宜諾斯艾利斯的門市擺出告示，表示因為系統出現問題，他們不能接受客戶使用Cencosud信用卡付款，同時該門市也無法接受退貨或是網路下單。不過，對於陳列告示的店家資訊，這名研究員並未表明更多細節。

Sobre el #Ransomware en #Cencosud, así está operando la sucursal Boedo de @EasyArg en estos momentos, afectando el negocio y la atención a clientes. pic.twitter.com/RLumHdJBzY

— Lucas Aie (@Lucasaie84) November 14, 2020

不只有店家張貼公告，還有資安人員記錄店家內部發生的亂象，足見此起攻擊事件所帶來的衝擊。拉丁美洲零售系統業者Falabella網頁安全工程師Irlenys Tersek錄下了一段影片，內容是受害門市POS機臺的電腦資料被加密後，勒索軟體從熱感式收據印表機輸出勒索訊息。

El #ransomware que le pegó a Cencosud es #Egregor. La ransom note empezó a salir en las impresoras de varios locales de Argentina y Chile pic.twitter.com/k1Ps4IDUyq

— Irlenys (@Irlenys) November 15, 2020

在影片裡，我們看到印表機先是迅速印出似乎是解密金鑰的一長串內容，接著是駭客Egregor的署名，以及勒索訊息，雖然列印的速度很快，但大致上能看得出駭客組織的名稱，還有要求Cencosud必須在3天內向駭客聯繫等內容。但這樣的訊息究竟是如何輸出到印表機？這名網頁安全工程師並未進一步說明。

由於影片裡印表機輸出內容的速度非常快，很難看清楚完整的內容，對此，我們在網路上搜尋相關的資訊，發現有一家阿根廷資安公司Segu-Info提供勒索訊息的截圖。同時，這家公司也提供入侵指標（IoC），讓當地商家能夠加以防範。