瑞典最大的连锁超市Coop再遭勒索软件团伙攻击

近日
，瑞典仙人掌勒索软件团伙声称已经黑入了瑞典最大的最大p再遭勒连锁超市Coop ，并威胁要公开大量个人信息，锁超市C索软超过2万个目录。团击

据了解
，伙攻Coop在瑞典大约有800家商店 ，瑞典这些商店分属于29个消费者协会 ，最大p再遭勒拥有350万个会员，云计算锁超市C索软Coop所有在业务中创造的团击盈余都会给会员分成 ，或者再投资于业务中，伙攻循环往复，瑞典以此获得更多收益
。最大p再遭勒

但在2021年7月，锁超市C索软Coop首次披露受到针对Kaseya的团击供应链勒索软件攻击影响 ，高防服务器关闭了大约500家商店。伙攻尽管Coop并没有使用Kaseya软件，但由于Coop支付系统的供应商Visma受到影响 ， Coop也受到了冲击。

自2023年3月以来，仙人掌勒索软件团伙一直保持活跃状态 ，但由于威胁行为者使用的模板下载是双重敲诈模式 ，数据泄露网站暂时没有被发现 。

攻击手段

Kroll的研究人员报告称 ，该勒索软件团伙使用加密技术来保护勒索软件的二进制文件，做法非常“聪明”
。免费模板

仙人掌勒索软件使用SoftPerfect网络扫描器（netscan）以及PowerShell命令在网络上查找其他目标并列举端点；结合开源PSnmap工具的修改版查看Windows事件查看器中的成功登录记录来识别用户账户；紧接着依靠多个合法工具（例如Splashtop、AnyDesk、SuperOps RMM）来实现远程访问 ，并在攻击后期使用Cobalt Strike和代理工具Chisel。

一旦恶意软件在某台机器上提升了权限 ，威胁行为者会使用批处理脚本卸载该机器上安装的亿华云流行杀毒软件，以此掩盖他们的“踪迹” 
。

那么仙人掌勒索软件如何进行数据窃取呢 ？他们使用的是Rclone工具  ，并使用了一个名为TotalExec的PowerShell脚本，服务器租用这个脚本过去曾被BlackBasta勒索软件操作者用于自动化部署加密过程 。