近日，仙人掌勒索軟件團(tuán)伙聲稱(chēng)已經(jīng)黑入了瑞典最大的連鎖超市Coop，并威脅要公開(kāi)大量個(gè)人信息，超過(guò)2萬(wàn)個(gè)目錄。

據(jù)了解，Coop在瑞典大約有800家商店，這些商店分屬于29個(gè)消費(fèi)者協(xié)會(huì)，擁有350萬(wàn)個(gè)會(huì)員，Coop所有在業(yè)務(wù)中創(chuàng)造的盈余都會(huì)給會(huì)員分成，或者再投資于業(yè)務(wù)中，循環(huán)往復(fù)，以此獲得更多收益。

但在2021年7月，Coop首次披露受到針對(duì)Kaseya的供應(yīng)鏈勒索軟件攻擊影響，關(guān)閉了大約500家商店。盡管Coop并沒(méi)有使用Kaseya軟件，但由于Coop支付系統(tǒng)的供應(yīng)商Visma受到影響， Coop也受到了沖擊。

自2023年3月以來(lái)，仙人掌勒索軟件團(tuán)伙一直保持活躍狀態(tài)，但由于威脅行為者使用的是雙重敲詐模式，數(shù)據(jù)泄露網(wǎng)站暫時(shí)沒(méi)有被發(fā)現(xiàn)。

攻擊手段

Kroll的研究人員報(bào)告稱(chēng)，該勒索軟件團(tuán)伙使用加密技術(shù)來(lái)保護(hù)勒索軟件的二進(jìn)制文件，做法非?！奥斆鳌?。

仙人掌勒索軟件使用SoftPerfect網(wǎng)絡(luò)掃描器（netscan）以及PowerShell命令在網(wǎng)絡(luò)上查找其他目標(biāo)并列舉端點(diǎn)；結(jié)合開(kāi)源PSnmap工具的修改版查看Windows事件查看器中的成功登錄記錄來(lái)識(shí)別用戶(hù)賬戶(hù)；緊接著依靠多個(gè)合法工具（例如Splashtop、AnyDesk、SuperOps RMM）來(lái)實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)，并在攻擊后期使用Cobalt Strike和代理工具Chisel。

一旦惡意軟件在某臺(tái)機(jī)器上提升了權(quán)限，威脅行為者會(huì)使用批處理腳本卸載該機(jī)器上安裝的流行殺毒軟件，以此掩蓋他們的“蹤跡”。

那么仙人掌勒索軟件如何進(jìn)行數(shù)據(jù)竊取呢？他們使用的是Rclone工具，并使用了一個(gè)名為T(mén)otalExec的PowerShell腳本，這個(gè)腳本過(guò)去曾被BlackBasta勒索軟件操作者用于自動(dòng)化部署加密過(guò)程。