瑞典最大的连锁超市 Coop 再遭勒索软件团伙攻击

仙人掌勒索软件团伙声称已经黑入了瑞典最大的连锁超市 Coop ,并威胁要公开超过2万个条目的个人信息。

据了解,Coop 在瑞典大约有800家商店,这些商店分属于29个消费者协会,拥有350万个会员,Coop 所有在业务中创造的盈余都会给会员分成,或者再投资于业务中,循环往复,以此获得更多收益。

在2021年7月,Coop 首次披露因受到针对Kaseya的供应链勒索软件攻击影响,关闭了大约500家商店。尽管Coop并没有使用Kaseya软件,但由于Coop支付系统的供应商 Visma 受到影响, Coop 也受到了牵连。

企业微信截图_17041763764779

自2023年3月以来,仙人掌勒索软件团伙一直保持活跃状态,但由于黑客使用的是双重敲诈模式,该组织的数据泄露网站暂时还没有被发现。

攻击手段

Kroll的研究人员报告称,该勒索软件团伙使用加密技术来保护勒索软件的二进制文件,做法非常“聪明”。

仙人掌勒索软件使用SoftPerfect网络扫描器(netscan)以及PowerShell命令在网络上查找其他目标并列举端点;结合开源PSnmap工具的修改版查看Windows事件查看器中的成功登录记录来识别用户账户;紧接着依靠多个合法工具(例如Splashtop、AnyDesk、SuperOps RMM)来实现远程访问,并在攻击后期使用Cobalt Strike和代理工具Chisel。

一旦恶意软件在某台机器上提升了权限,黑客会使用批处理脚本卸载该机器上安装的流行杀毒软件,以此掩盖他们的“踪迹”。

他们使用的是Rclone工具进行数据窃取,并使用了一个名为 TotalExec 的 PowerShell 脚本,这个脚本过去曾被 BlackBasta 勒索软件操作者用于自动化部署加密过程。


转自FreeBuf,原文链接:https://www.freebuf.com/news/388440.html

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞10 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容