近日，仙人掌勒索軟件團伙聲稱已經黑入了瑞典最大的連鎖超市Coop，并威脅要公開大量個人信息，超過2萬個目錄。

據了解，Coop在瑞典大約有800家商店，這些商店分屬于29個消費者協會，擁有350萬個會員，Coop所有在業務中創造的盈余都會給會員分成，或者再投資于業務中，循環往復，以此獲得更多收益。

但在2021年7月，Coop首次披露受到針對Kaseya的供應鏈勒索軟件攻擊影響，關閉了大約500家商店。盡管Coop并沒有使用Kaseya軟件，但由于Coop支付系統的供應商Visma受到影響， Coop也受到了沖擊。

自2023年3月以來，仙人掌勒索軟件團伙一直保持活躍狀態，但由于威脅行為者使用的是雙重敲詐模式，數據泄露網站暫時沒有被發現。

攻擊手段

Kroll的研究人員報告稱，該勒索軟件團伙使用加密技術來保護勒索軟件的二進制文件，做法非常“聰明”。

仙人掌勒索軟件使用SoftPerfect網絡掃描器（netscan）以及PowerShell命令在網絡上查找其他目標并列舉端點；結合開源PSnmap工具的修改版查看Windows事件查看器中的成功登錄記錄來識別用戶賬戶；緊接著依靠多個合法工具（例如Splashtop、AnyDesk、SuperOps RMM）來實現遠程訪問，并在攻擊后期使用Cobalt Strike和代理工具Chisel。

一旦惡意軟件在某臺機器上提升了權限，威脅行為者會使用批處理腳本卸載該機器上安裝的流行殺毒軟件，以此掩蓋他們的“蹤跡”。

那么仙人掌勒索軟件如何進行數據竊取呢？他們使用的是Rclone工具，并使用了一個名為TotalExec的PowerShell腳本，這個腳本過去曾被BlackBasta勒索軟件操作者用于自動化部署加密過程。