Coop Sverige ramt af ransomware og datalæk fra Cactus
Coop i Sverige er ramt af Cactus ransomware, og der er i dag lækket fortrolige oplysninger fra selskabets ansatte som omfatter kopier af pas og kørekort samt andre følsomme data, som f.eks. prognoser og forecasts. Det fremgår af Cactus lækageside på Darkweb. Se herunder:
Cactus modus analyse
Et Cactus ransomware angreb startes typisk med DanaBOT, som oprindeligt var en netbank tyv, men i lighed med f.eks. IcedID, Dridex/Cridex, QakBOT m.fl, nu anvendes som initiel infektion og til at indsamle brugernavne og passwords fra kompromitterede maskiner. Derefter skubbes der typisk en cracked version af Cobalt Strike ud, som misbruges til at gennemføre lateral bevægelse i et Microsoft Windows miljø.
Hyper aktive siden Marts 2023 og med tilknytning til Maze
Cactus banden blev første gang spottet i Marts måned, hvor de til at begynde med, gennemførte credential stuffing og misbrug af kendte sårbarheder mod VPN gateways for derigennem at opnå adgang til interne netværk.
I de seneste par måneder har banden i højere og højere grad dannet alliance med DanaBOT Crime as a Service og bl.a. gennemført malvertizing angreb ovber et PPI (Pay Per Install) setup. Cactus kan knyttes til: Twisted Spider/Maze.
Cactus gør brug af AES256 (GCM) algoritmen til at kryptere data. Deres afpresningstekst droppes med filen "CaCtUs.ReAdMe.txt" til alle mapper, hvor data er blevet krypteret. Som med alle ransomware familier indeholder txt filen oplysninger om hvordan man kommer i kontakt med personerne bag angrebet med henblik på at forhandle en løsesum.
Coop Sverige
Det ligner, at det udelukkende er den
svenske del af Coop der er ramt, men der kan i det potentielt samlede
læk, formentlig også kunne indgå data og ID dokumentation for ansatte i
Danmark. For nuværende har Cactus banden postet diverse ID og anden
dokumentation på deres lækage side, ligesom de tilbyder download af mere
omfattende data som jeg af gode grunde ikke har hentet.
85 rapporterede angreb på 9 måneder
Cactus
har i følge mine oplysninger ramt ikke færre end 85 organisationer i
2023 og altid med dobbelt afpresning i form af kryptering af data og læk
af eksfiltrerede data. De rammer primært mål i vesten. Alene i den
forløbne uge har banden ramt Bellgroup i England, DBM Group i USA, PBS
Systems i Canada, Tridon i Australien, Bachoco i Mexico, GDI i Canada,
WKW-Group i Tyskland, Larlyn i Canada, Quaker i USA og CTS i England.
Alle store virksomheder.
Kedelig start på et nyt år
Det må være en
træls start på et nyt år at få stillet en større lækage i udsigt og
samtidig sandsynligvis skal bøvle med at reetablere en sværm af servere
og klienter.
Flere datalækager som følge af ransomware angreb i 2024
Jeg forudsiger desværre,
at netop datalækager, som er et uhyggeligt effektivt våben i afpresningssammenhæng, vil blive en stigende
faktor i det nye år. Og i den nuværende geopolitiske situation med en krig
i Ukraine vil det blive vanskeligt at få stoppet og retsforfulgt de
mange organisede cyberkriminelle bander som opererer fra Rusland.
Politisk handling
Det kræver politisk handling,
at kunne håndtere stigningen af datalækager og konsekvenserne heraf, i det nye år. Det
skrev jeg også en klumme om på Altinget med titlen:
"Virksomheder skal
behandle vores følsomme data med større respekt":
https://www.altinget.dk/forsvar/artikel/det-digitale-trusselslandskab-kraever-at-virksomheder-passer-bedre-paa-vores-foelsomme-data
På trods af denne kedelige nyhed vil jeg ønske alle et godt og sikkert nytår.
Cactus IoCs (SHA256)
e9ac9436b5d61dd85e87e0fcd11b729a91466fe2f55f1f32501202d9ed98d562
9031966625a243bfaada93d23f7b7e61807ea6b39cb1e5372ecd549aec7421ac
70a580e734c2331098fa3ecf3f1c928e17ddb92f99f75956c3f805b065222685
a5296d07dabb3d7b53fce4cf803190bfa57e062abeb11a6d801250acb7005c5f