近日，仙人掌勒索軟件團伙聲稱已經(jīng)黑入了瑞典最大的連鎖超市Coop，并威脅要公開大量個人信息，超過2萬個目錄。

據(jù)了解，Coop在瑞典大約有800家商店，這些商店分屬于29個消費者協(xié)會，擁有350萬個會員，Coop所有在業(yè)務中創(chuàng)造的盈余都會給會員分成，或者再投資于業(yè)務中，循環(huán)往復，以此獲得更多收益。

但在2021年7月，Coop首次披露受到針對Kaseya的供應鏈勒索軟件攻擊影響，關(guān)閉了大約500家商店。盡管Coop并沒有使用Kaseya軟件，但由于Coop支付系統(tǒng)的供應商Visma受到影響， Coop也受到了沖擊。

自2023年3月以來，仙人掌勒索軟件團伙一直保持活躍狀態(tài)，但由于威脅行為者使用的是雙重敲詐模式，數(shù)據(jù)泄露網(wǎng)站暫時沒有被發(fā)現(xiàn)。

攻擊手段

Kroll的研究人員報告稱，該勒索軟件團伙使用加密技術(shù)來保護勒索軟件的二進制文件，做法非常“聰明”。

仙人掌勒索軟件使用SoftPerfect網(wǎng)絡(luò)掃描器（netscan）以及PowerShell命令在網(wǎng)絡(luò)上查找其他目標并列舉端點；結(jié)合開源PSnmap工具的修改版查看Windows事件查看器中的成功登錄記錄來識別用戶賬戶；緊接著依靠多個合法工具（例如Splashtop、AnyDesk、SuperOps RMM）來實現(xiàn)遠程訪問，并在攻擊后期使用Cobalt Strike和代理工具Chisel。

一旦惡意軟件在某臺機器上提升了權(quán)限，威脅行為者會使用批處理腳本卸載該機器上安裝的流行殺毒軟件，以此掩蓋他們的“蹤跡”。

那么仙人掌勒索軟件如何進行數(shù)據(jù)竊取呢？他們使用的是Rclone工具，并使用了一個名為TotalExec的PowerShell腳本，這個腳本過去曾被BlackBasta勒索軟件操作者用于自動化部署加密過程。