Coop是瑞典最大的零售和食品杂货供应商之一,全国约有800家门店。这些门店由29个消费者协会的350万成员共同拥有。业务创造的所有剩余价值都返还给会员或再投资于业务中,形成了一个循环往复的模式。Cactus勒索软件团伙声称已经攻击了Coop,并威胁要公开超过2.1万个目录的大量个人信息。 Cactus勒索软件团伙将Coop添加到其Tor泄漏网站上的受害者名单中。
威胁行为者已经发布了身份证作为黑客攻击的证据。2021年7月,瑞典超市连锁公司Coop成为首家披露遭受供应链勒索软件攻击影响的公司,该攻击是针对Kaseya的。由于遭受了针对供应商Kaseya的供应链勒索软件攻击,这家超市连锁公司关闭了约500家门店。Coop并没有使用Kesaya软件,但由于他们的一个软件供应商使用了该软件,因此受到了这次事件的影响。
据BleepingComputer报道,受影响的供应商是管理该超市连锁公司支付系统的瑞典MSP Visma。Visma证实他们受到了Kaseya网络攻击的影响,该攻击导致REvil勒索软件加密了他们客户的系统。Cactus勒索软件团伙自2023年3月以来一直活跃,尽管威胁行为者使用了双重勒索模式,但其数据泄漏网站尚未被发现。
Kroll研究人员报告称,该勒索软件变种突出表现在使用加密保护勒索软件二进制代码。Cactus勒索软件使用SoftPerfect Network Scanner(netscan)在网络上寻找其他目标,同时使用PowerShell命令枚举终端。该勒索软件通过查看Windows事件查看器中的成功登录来识别用户账户,还使用了开源PSnmap工具的修改版本。Cactus勒索软件依赖多个合法工具(例如Splashtop、AnyDesk、SuperOps RMM)实现远程访问,并在攻击后阶段使用Cobalt Strike和代理工具Chisel。一旦恶意软件在一台机器上提升了权限,威胁行为者会使用批处理脚本卸载机器上安装的常见防病毒解决方案。Cactus使用Rclone工具进行数据外泄,并使用一个名为TotalExec的PowerShell脚本自动化加密过程的部署,该脚本过去曾被BlackBasta勒索软件运营商使用。
原文始发于微信公众号(黑猫安全):CACTUS勒索软件团伙袭击了瑞典的零售和食品杂货供应商Coop
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论