瑞典的连锁超市Coop再遭勒索软件团伙攻击

瑞典的连锁超市Coop再遭勒索软件团伙攻击

　　 近日，仙人掌勒索软件团伙声称已经黑入了瑞典的连锁超市Coop，并威胁要公开大量个人信息，超过2万个目录。

　　 据了解，Coop在瑞典大约有0家商店，这些商店分属于29个消费者协会，拥有0万个会员，Coop所有在业务中创造的盈余都会给会员分成，或者再投资于业务中，循环往复，以此获得更多收益。

　　 但在2021年7月，Coop首次披露受到针对Kaseya的供应链勒索软件攻击影响，关闭了大约0家商店。尽管Coop并没有使用Kaseya软件，但由于Coop支付系统的供应商Visma受到影响， Coop也受到了冲击。

　　 自2023年3月以来，仙人掌勒索软件团伙一直保持活跃状态，但由于威胁行为者使用的是双重敲诈模式，软件美发会员软件管理系统排行站暂时没有被发现。

　　 Kroll的研究人员报告称，该勒索软件团伙使用加密技术来保护勒索软件的二进制文件，做法非常“聪明”。

　　 仙人掌勒索软件使用SoftPer数字会员系统软件络扫描器（手机vip会员系统软件）以及PowerShel智卡会员软件系统出错络上查找其他目标并列举端点；结合开源PSnmap工具的修改版查看Windows事件查看器中的成功登录记录来识别用户账户；紧接着依靠多个合法工具例如Splashtop、AnyDesk、SuperOps RMM来实现远程访问，并在攻击后期使用Cobalt Strike和代理工具Chisel。

　　 一旦恶意软件在某台机器上提升了权限，威胁行为者会使用批处理脚本卸载该机器上安装的流行杀毒软件，以此掩盖他们的“踪迹”。

　　 那么仙人掌勒索软件如何进行数据窃取呢？他们使用的是Rclone工具，并使用了一个名为TotalExec的PowerShell脚本，这个脚本过去曾被BlackBasta勒索软件操作者用于自动化部署加密过程。