{"id":289966,"date":"2024-01-05T19:15:21","date_gmt":"2024-01-05T18:15:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289966"},"modified":"2024-01-06T06:08:17","modified_gmt":"2024-01-06T05:08:17","slug":"schwedische-coop-gruppe-wurde-im-dezember-2023-opfer-der-cactus-ransomware","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/01\/05\/schwedische-coop-gruppe-wurde-im-dezember-2023-opfer-der-cactus-ransomware\/","title":{"rendered":"Schwedische Coop-Gruppe wurde im Dezember 2023 Opfer der Cactus-Ransomware"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die schwedische Coop-Supermarktgruppe ist wohl erneut Opfer eines Cyberangriffs geworden. Ich hatte vor Tagen gelesen, dass die seit 2023 operierende Ransomware-Gruppe Cactus die Coop auf ihrer Tor-Leak-Seite als Opfer auff\u00fchrt. Inzwischen hat Coop wohl best\u00e4tigt, dass Ransomware die Gesch\u00e4fte in der Region V\u00e4rmland befallen habe. 2021 ging bei 800 Coop-Gesch\u00e4ften in Schweden nichts mehr, weil ein Cyberangriff auf einen Operator der Kassen diese lahm gelegt hatte.<\/p>\n

<\/p>\n

Wer ist Coop?<\/h2>\n

\"\"Coop-Schweden<\/a> ist eine genossenschaftlich organisierte schwedische Supermarktkette, die f\u00fcr gut 20% der Ums\u00e4tze in diesem Bereich verantwortlich ist. Coop betreibt etwa 800 Gesch\u00e4fte, die sich im Miteigentum von 3,5 Millionen Mitgliedern in 29 Verbraucherverb\u00e4nden befinden. Alle \u00dcbersch\u00fcsse, die im Unternehmen erwirtschaftet werden, gehen an die Mitglieder zur\u00fcck oder werden in das Unternehmen reinvestiert, wodurch ein Kreislauf entsteht.<\/p>\n

Coop Opfer der Cactus-Gruppe<\/h2>\n

Zum Jahreswechsel bin ich in nachfolgendem Tweet auf die Information gesto\u00dfen, dass die Cactus-Ransomware-Gruppe Coop auf ihrer Tor-Leak-Seite als Opfer aufgelistet habe.<\/p>\n

<\/a><\/p>\n

Die Cactus-Gruppe schreibt, dass Coop in Schweden 6,5 Milliarden US-Dollar Umsatz macht und man 257 Gbyte an Daten bei einem Angriff erbeutet habe. Davon hat die Gruppe 1 % auf der Leak-Seite ver\u00f6ffentlicht. Security Affairs schreibt in dem in obigen Tweet verlinkten Beitrag<\/a>, dass die Ransomware-Gruppe Cactus behauptet, Coop in Schweden gehackt zu haben. Die Gruppe droht mit der Offenlegung pers\u00f6nlicher Dateien aus \u00fcber 21.000 Verzeichnissen.<\/p>\n

Die Cactus-Ransomware-Gruppe<\/h2>\n

Die Cactus Ransomware-Gruppe ist erst seit M\u00e4rz 2023 aktiv (siehe bei Bleeping Computer<\/a>), scheint aber Ende 2023 \"Fahrt aufgenommen\" zu haben. In diesem Beitrag<\/a> vom Dezember 2023 hei\u00dft es, dass Microsoft vor der Cactus Ransomware warnt.\u00a0 Artic Wolf hatte im November 2023 diesen Artikel<\/a> zu einer neu beobachteten Kampagne dieser Gruppe ver\u00f6ffentlicht.<\/p>\n

Die Cactus-Ransomware st\u00fctzt sich laut Security-Affairs<\/a> auf mehrere legitime Tools (z. B. Splashtop, AnyDesk, SuperOps RMM), um einen Remote-Zugriff auf das IT-Netzwerk eines Unternehmens zu erlangen. Ist die Malware auf dem Computer installiert und verf\u00fcgt sie \u00fcber ausreichende Privilegien, werden Antivirenl\u00f6sungen, die auf dem Computer installiert sind, per Batch-Script deinstalliert.<\/p>\n

Dann verwendet die Cactus Ransomware den SoftPerfect Network Scanner (netscan), um nach anderen Zielen im Netzwerk zu suchen. Die Endpunkte im Netzwerk werden per PowerShell-Befehle aufgelistet. Die Ransomware identifiziert Benutzerkonten, indem sie erfolgreiche Anmeldungen in der Windows-Ereignisanzeige anzeigt. Sie verwendet au\u00dferdem eine modifizierte Variante des Open-Source-Tools PSnmap, sowie Cobalt Strike und das Proxy-Tool Chisel f\u00fcr Aktivit\u00e4ten nach der Ausbreitung. Zum Abziehen der Daten wird das Tool Rclone und ein PowerShell-Skript namens TotalExec <\/em>(das wurde in der Vergangenheit von den Betreibern der BlackBasta-Ransomware verwendet, um die Bereitstellung des Verschl\u00fcsselungsprozesses zu automatisieren).<\/p>\n

Coop best\u00e4tigt den Angriff<\/h2>\n

Die Seite Retail Insights Network schreibt<\/a> zum 3. Januar 2023, dass Coop-Schweden den Cyberangriff durch Cactus best\u00e4tigt habe. Die Cyberattacke begann am 22. Dezember 2023 und f\u00fchrte dazu, dass alle Coop-Filialen in V\u00e4rmland keine Kartenzahlungen verarbeiten konnten.Coop betreibt in V\u00e4rmland 44 Superm\u00e4rkte, 15 Pek\u00e5s und zwei MaxiMat-M\u00e4rkte.\u00a0 Die Gesch\u00e4fte blieben allerdings ge\u00f6ffnet.<\/p>\n

Ein Coop-Sprecher wurde von Recorded Future News<\/a> mit den Worten zitiert: \"Wir k\u00f6nnen best\u00e4tigen, dass Coop V\u00e4rmland Opfer eines Cyberangriffs geworden ist.\" Nach der Entdeckung des Cyberangriffs wurden externe Fachleute hinzugezogen, wobei man sich in erster Linie auf die Schlie\u00dfung der Schwachstellen konzentrierte. Die aktuelle Bewertung zeige, dass diese Schwachstellen, \u00fcber die die Angreifer eindringen konnten, erfolgreich behoben wurden.<\/p>\n

Bereits Angriff 2021<\/h2>\n

Zum Coop fiel mir der Cyberangriff von Sommer 2021 ein, den ich im Blog-Beitrag Coop-Schweden schlie\u00dft 800 Gesch\u00e4fte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang<\/a> berichtet hatte. Seinerzeit war es der REvil-Ransomware-Gruppe gelungen, den Anbieter Kaseya VSA per Lieferkettenangriff zu kompromittieren. Dadurch konnte der von Coop genutzte Zahlungsdienstleister Visma EssCom angegriffen werden. Am Ende des Tages funktionieren dann die Kassen in den 800 Coop-Filialen nicht mehr, so dass keine Zahlungen erfolgen konnten. In Schweden, wo die Leute kaum noch Bargeld haben, ein mittleres Drama.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nCoop-Schweden schlie\u00dft 800 Gesch\u00e4fte nach Kaseya VSA-Lieferkettenangriff durch REvil-Gang<\/a>
\nNeues zum Kaseya VSA-Lieferkettenangriff und zum Coop-Schweden-Fall<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die schwedische Coop-Supermarktgruppe ist wohl erneut Opfer eines Cyberangriffs geworden. Ich hatte vor Tagen gelesen, dass die seit 2023 operierende Ransomware-Gruppe Cactus die Coop auf ihrer Tor-Leak-Seite als Opfer auff\u00fchrt. Inzwischen hat Coop wohl best\u00e4tigt, dass Ransomware die Gesch\u00e4fte in … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-289966","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289966","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=289966"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289966\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=289966"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=289966"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=289966"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}