瑞典最大的连锁超市Coop再遭勒索软件团伙攻击

安全
Kroll的研究人员报告称,该勒索软件团伙使用加密技术来保护勒索软件的二进制文件,做法非常“聪明”。

近日,仙人掌勒索软件团伙声称已经黑入了瑞典最大的连锁超市Coop,并威胁要公开大量个人信息,超过2万个目录。

据了解,Coop在瑞典大约有800家商店,这些商店分属于29个消费者协会,拥有350万个会员,Coop所有在业务中创造的盈余都会给会员分成,或者再投资于业务中,循环往复,以此获得更多收益。

但在2021年7月,Coop首次披露受到针对Kaseya的供应链勒索软件攻击影响,关闭了大约500家商店。尽管Coop并没有使用Kaseya软件,但由于Coop支付系统的供应商Visma受到影响, Coop也受到了冲击。

自2023年3月以来,仙人掌勒索软件团伙一直保持活跃状态,但由于威胁行为者使用的是双重敲诈模式,数据泄露网站暂时没有被发现。

攻击手段

Kroll的研究人员报告称,该勒索软件团伙使用加密技术来保护勒索软件的二进制文件,做法非常“聪明”。

仙人掌勒索软件使用SoftPerfect网络扫描器(netscan)以及PowerShell命令在网络上查找其他目标并列举端点;结合开源PSnmap工具的修改版查看Windows事件查看器中的成功登录记录来识别用户账户;紧接着依靠多个合法工具(例如Splashtop、AnyDesk、SuperOps RMM)来实现远程访问,并在攻击后期使用Cobalt Strike和代理工具Chisel。

一旦恶意软件在某台机器上提升了权限,威胁行为者会使用批处理脚本卸载该机器上安装的流行杀毒软件,以此掩盖他们的“踪迹”。

那么仙人掌勒索软件如何进行数据窃取呢?他们使用的是Rclone工具,并使用了一个名为TotalExec的PowerShell脚本,这个脚本过去曾被BlackBasta勒索软件操作者用于自动化部署加密过程。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2021-07-04 10:32:24

勒索软件Coop REvil 团伙

2021-07-08 15:51:26

Coop勒索软件攻击Kaseya

2021-12-08 16:21:11

网络攻击黑客网络安全

2022-06-21 14:49:52

勒索安全数据泄露

2022-08-12 10:45:00

勒索软件思科

2021-05-18 17:41:22

勒索软件攻击数据泄露

2024-01-22 21:26:22

2023-05-31 16:00:51

2022-06-02 08:39:50

勒索软件网络攻击

2021-12-28 15:22:52

勒索软件攻击网络安全

2021-03-04 11:02:07

勒索软件Nefilim幽灵账户

2022-01-12 06:23:23

Finalsite勒索软件网络安全

2023-07-06 15:43:26

2020-08-24 07:32:20

勒索软件攻击数据泄露

2021-11-12 11:45:27

勒索软件攻击金融活动

2021-08-10 16:50:14

勒索软件攻击数据泄露

2021-08-10 11:42:45

勒索软件网络攻击数据泄露

2021-11-02 12:15:17

勒索软件攻击网络安全

2017-05-24 14:15:32

2023-12-19 23:20:26

点赞
收藏

51CTO技术栈公众号