Coop, con le sue circa 800 filiali distribuite in tutta la Svezia, rappresenta uno dei più grandi distributori di servizi retail e prodotti alimentari del paese. Di proprietà di 3,5 milioni di soci che appartengono a 29 associazioni di consumatori, Coop reinveste ogni eccedenza nella propria attività, instaurando così un ciclo circolare.
Recentemente, il gruppo Ransomware CACTUS ha dichiarato di aver portato a termine un attacco hacker nei confronti di Coop, minacciando la divulgazione di una considerevole quantità di dati personali, riferibili a più di 21 mila directory. A prova del fatto, il gruppo ha pubblicato carte d’identità dei presunti coinvolti.
Noto per la sua attività a partire da Marzo 2023, il gruppo CACTUS si contraddistingue per l’uso del modello di doppia estorsione, anche se il sito dove viene diffusa la porzione di dati rubati non è ancora stato scoperto. Dai ricercatori di Kroll, il ransomware si distingue per l’utilizzo della crittografia a protezione del binario del ransomware. Il ransomware Cactus utilizza il Network Scanner di SoftPerfect (netScan) alla ricerca di altri obiettivi all’interno della rete di collegamento, associato a comandi PowerShell per enumerare le estremità. Il ransomware individua gli account utente visualizzando i log in di accesso riusciti nell’Event Viewer di Windows, inoltre, si avvale di una variante modificata dello strumento open-source PSnmap.
Il ransomware Cactus si affida a diversi strumenti legittimi (Splashtop, AnyDesk, SuperOps RMM) per ottenere l’accesso remoto e utilizza Cobalt Strike insieme al tool proxy Chisel nelle attività successive all’azione di sfruttamento. Una volta ottenuti i privilegi su una macchina, i minatori utilizzano uno script batch per disinstallare le soluzioni antivirus più popolari installate sulla macchina.
Cactus utilizza lo strumento Rclone per l’esfiltrazione dei dati e sfrutta uno script PowerShell denominato TotalExec, in passato usato dagli operatori del ransomware BlackBasta, per automatizzare il processo di distribuzione del criptaggio.