[English]Die schwedische Coop-Supermarktgruppe ist wohl erneut Opfer eines Cyberangriffs geworden. Ich hatte vor Tagen gelesen, dass die seit 2023 operierende Ransomware-Gruppe Cactus die Coop auf ihrer Tor-Leak-Seite als Opfer aufführt. Inzwischen hat Coop wohl bestätigt, dass Ransomware die Geschäfte in der Region Värmland befallen habe. 2021 ging bei 800 Coop-Geschäften in Schweden nichts mehr, weil ein Cyberangriff auf einen Operator der Kassen diese lahm gelegt hatte.
Anzeige
Wer ist Coop?
Coop-Schweden ist eine genossenschaftlich organisierte schwedische Supermarktkette, die für gut 20% der Umsätze in diesem Bereich verantwortlich ist. Coop betreibt etwa 800 Geschäfte, die sich im Miteigentum von 3,5 Millionen Mitgliedern in 29 Verbraucherverbänden befinden. Alle Überschüsse, die im Unternehmen erwirtschaftet werden, gehen an die Mitglieder zurück oder werden in das Unternehmen reinvestiert, wodurch ein Kreislauf entsteht.
Coop Opfer der Cactus-Gruppe
Zum Jahreswechsel bin ich in nachfolgendem Tweet auf die Information gestoßen, dass die Cactus-Ransomware-Gruppe Coop auf ihrer Tor-Leak-Seite als Opfer aufgelistet habe.
Die Cactus-Gruppe schreibt, dass Coop in Schweden 6,5 Milliarden US-Dollar Umsatz macht und man 257 Gbyte an Daten bei einem Angriff erbeutet habe. Davon hat die Gruppe 1 % auf der Leak-Seite veröffentlicht. Security Affairs schreibt in dem in obigen Tweet verlinkten Beitrag, dass die Ransomware-Gruppe Cactus behauptet, Coop in Schweden gehackt zu haben. Die Gruppe droht mit der Offenlegung persönlicher Dateien aus über 21.000 Verzeichnissen.
Anzeige
Die Cactus-Ransomware-Gruppe
Die Cactus Ransomware-Gruppe ist erst seit März 2023 aktiv (siehe bei Bleeping Computer), scheint aber Ende 2023 "Fahrt aufgenommen" zu haben. In diesem Beitrag vom Dezember 2023 heißt es, dass Microsoft vor der Cactus Ransomware warnt. Artic Wolf hatte im November 2023 diesen Artikel zu einer neu beobachteten Kampagne dieser Gruppe veröffentlicht.
Die Cactus-Ransomware stützt sich laut Security-Affairs auf mehrere legitime Tools (z. B. Splashtop, AnyDesk, SuperOps RMM), um einen Remote-Zugriff auf das IT-Netzwerk eines Unternehmens zu erlangen. Ist die Malware auf dem Computer installiert und verfügt sie über ausreichende Privilegien, werden Antivirenlösungen, die auf dem Computer installiert sind, per Batch-Script deinstalliert.
Dann verwendet die Cactus Ransomware den SoftPerfect Network Scanner (netscan), um nach anderen Zielen im Netzwerk zu suchen. Die Endpunkte im Netzwerk werden per PowerShell-Befehle aufgelistet. Die Ransomware identifiziert Benutzerkonten, indem sie erfolgreiche Anmeldungen in der Windows-Ereignisanzeige anzeigt. Sie verwendet außerdem eine modifizierte Variante des Open-Source-Tools PSnmap, sowie Cobalt Strike und das Proxy-Tool Chisel für Aktivitäten nach der Ausbreitung. Zum Abziehen der Daten wird das Tool Rclone und ein PowerShell-Skript namens TotalExec (das wurde in der Vergangenheit von den Betreibern der BlackBasta-Ransomware verwendet, um die Bereitstellung des Verschlüsselungsprozesses zu automatisieren).
Coop bestätigt den Angriff
Die Seite Retail Insights Network schreibt zum 3. Januar 2023, dass Coop-Schweden den Cyberangriff durch Cactus bestätigt habe. Die Cyberattacke begann am 22. Dezember 2023 und führte dazu, dass alle Coop-Filialen in Värmland keine Kartenzahlungen verarbeiten konnten.Coop betreibt in Värmland 44 Supermärkte, 15 Pekås und zwei MaxiMat-Märkte. Die Geschäfte blieben allerdings geöffnet.
Ein Coop-Sprecher wurde von Recorded Future News mit den Worten zitiert: "Wir können bestätigen, dass Coop Värmland Opfer eines Cyberangriffs geworden ist." Nach der Entdeckung des Cyberangriffs wurden externe Fachleute hinzugezogen, wobei man sich in erster Linie auf die Schließung der Schwachstellen konzentrierte. Die aktuelle Bewertung zeige, dass diese Schwachstellen, über die die Angreifer eindringen konnten, erfolgreich behoben wurden.
Bereits Angriff 2021
Zum Coop fiel mir der Cyberangriff von Sommer 2021 ein, den ich im Blog-Beitrag Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang berichtet hatte. Seinerzeit war es der REvil-Ransomware-Gruppe gelungen, den Anbieter Kaseya VSA per Lieferkettenangriff zu kompromittieren. Dadurch konnte der von Coop genutzte Zahlungsdienstleister Visma EssCom angegriffen werden. Am Ende des Tages funktionieren dann die Kassen in den 800 Coop-Filialen nicht mehr, so dass keine Zahlungen erfolgen konnten. In Schweden, wo die Leute kaum noch Bargeld haben, ein mittleres Drama.
Ähnliche Artikel:
Coop-Schweden schließt 800 Geschäfte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang
Neues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall
Anzeige
Wenn es denn immer so wäre, das die Geschäftsmodelle der Firmen mit schludriger IT-Sicherheit direkt betroffen sind, dann wäre der Lerneffekt bei deren Management vermutlich Nachhaltiger. Leider sind wohl auch hier wieder Zahlungsdaten von Kunden mit betroffen? Oder welche "persönlichen Dateien" sollen das sonst sein? Womöglich die Sex-Videos, welche sich das Management am Arbeitsplatz aus Langeweile angeschaut hat?