Η ομάδα Cactus Ransomware έπληξε τον Σουηδικό πάροχο λιανικής και παροχέα ειδών παντοπωλείου Coop.

Η ομάδα Cactus ransomware υποστηρίζει πως έχει πραγματοποιήσει hacking επίθεση στην εταιρεία Coop, μία από τις μεγαλύτερες αλυσίδες λιανεμπορίου και παροχής ειδών παντοπωλείου στη Σουηδία.

Η Coop είναι μία από τις μεγαλύτερες αλυσίδες λιανικής και παροχής ειδών διατροφής στη Σουηδία, με περίπου 800 καταστήματα σε ολόκληρη τη χώρα. Τα καταστήματα ανήκουν σε 29 κοινότητες καταναλωτών και στο σύνολό τους συγκαταλέγονται περίπου 3,5 εκατομμύρια μέλη. Οποιοδήποτε πλεόνασμα που προκύπτει από τη δραστηριότητα της επιχείρησης επιστρέφει στα μέλη ή επενενεργείται στην επιχείρηση, δημιουργώντας έναν κύκλο.

Η ομάδα Cactus ransomware υποστηρίζει ότι έχει χακάρει την εταιρεία Coop και απειλεί να αποκαλύψει μεγάλο όγκο προσωπικών πληροφοριών, πάνω από 21 χιλιάδες directories.

Η ομάδα hacking Cactus πρόσθεσε την εταιρεία Coop στη λίστα των θυμάτων της στον ιστότοπο Tor για διαρροές.

Απειλητικοί δράστες έχουν δημοσιεύσει ταυτότητες ως απόδειξη της διείσδυσής τους.

Τον Ιούλιο του 2021, η Σουηδική αλυσίδα σούπερ μάρκετ Coop ήταν η πρώτη εταιρεία που αποκάλυψε τις επιπτώσεις της επίθεσης ransomware στην αλυσίδα εφοδιαστικής που πλήττει την Kaseya.

Η αλυσίδα σούπερ μάρκετ Coop έκλεισε περίπου 500 καταστήματα λόγω της επίθεσης ransomware στην αλυσίδα εφοδιασμού που επηρέασε τον πάροχο Kaseya.

Η Coop δεν χρησιμοποιεί το λογισμικό Kesaya, παρ’ όλα αυτά, επηρεάστηκε από το συμβάν επειδή ένας από τους προμηθευτές λογισμικού της το χρησιμοποιεί.

Σύμφωνα με το BleepingComputer, ο επηρεασμένος πάροχος ήταν η Σουηδική MSP Visma, η οποία διαχειρίζεται τα συστήματα πληρωμών για την αλυσίδα σούπερ μάρκετ.

Η Visma επιβεβαίωσε ότι επλήγη από την κυβερνοεπίθεση της Kaseya, που επέτρεψε στο REvil ransomware να κρυπτογραφήσει τα συστήματα των πελατών της.

Η επιχείρηση Cactus ransomware είναι ενεργή από τον Μάρτιο του 2023, παρόλο που οι υπεύθυνοι χρησιμοποιούν ένα μοντέλο διπλού εκβιασμού, ο ιστότοπος διαρροής δεδομένων τους δεν έχει ακόμα ανακαλυφθεί.

Οι ερευνητές της Kroll ανέφεραν ότι η παραλλαγή του ransomware ξεχωρίζει για τη χρήση κρυπτογράφησης για την προστασία του ransomware binary.

Το ransomware Cactus χρησιμοποιεί το SoftPerfect Network Scanner (netscan) για να αναζητήσει άλλους στόχους στο δίκτυο μαζί με εντολές PowerShell για την απαρίθμηση των τερματικών σημείων. Το ransomware αναγνωρίζει τους λογαριασμούς χρηστών προβάλλοντας επιτυχείς συνδέσεις στον Windows Event Viewer, χρησιμοποιεί επίσης την τροποποιημένη μορφή του ανοικτού πηγαίου κώδικα εργαλείου PSnmap.

Το ransomware Cactus βασίζεται σε πολλά νόμιμα εργαλεία (π.χ. Splashtop, AnyDesk, SuperOps RMM) για να επιτύχει απομακρυσμένη πρόσβαση και χρησιμοποιεί το Cobalt Strike και το εργαλείο proxy Chisel σε δραστηριότητες μετά την παραβίαση.

Μόλις το κακόβουλο λογισμικό εξασφαλίσει τα δικαιώματα πρόσβασης σε έναν υπολογιστή, οι απειλητικοί παράγοντες χρησιμοποιούν ένα πακέτο εντολών για να απεγκαταστήσουν δημοφιλείς λύσεις antivirus που έχουν εγκατασταθεί στον υπολογιστή.

Το Cactus χρησιμοποιεί το εργαλείο Rclone για την εξαγωγή δεδομένων και χρησιμοποιεί ένα PowerShell script με το όνομα TotalExec, το οποίο χρησιμοποιήθηκε στο παρελθόν από τους υπευθύνους του BlackBasta ransomware, για την αυτοματοποίηση της διαδικασίας κρυπτογράφησης.

Πηγή πληροφοριών: securityaffairs.com