Coop har meddelat att de drabbades av en omfattande cyberattack i december som störde den dagliga verksamheten och påverkade kortbetalningar i flera butiker. Coop är en av de största detaljhandels- och livsmedelsleverantörerna i Sverige, med ungefär 800 butiker runt om i landet.
Enligt lokala medierapporter var Coop offer för en cybersäkerhetsincident som inträffade omkring den 22 december och påverkade deras betalningssystem. Till följd av attacken kunde flera kunder inte genomföra kortbetalningar i Coops butiker i Värmland.
Klas Olsson, kommunikationschef på Coop Värmland, berättade senare för nyhetsbyråer att problemet med kortbetalningar var en följd av cyberattacken. Ett liknande uttalande publicerades också på Coops webbplats. Enligt en intervju i SVT säger Klas Olsson är de luckor som släppte igenom hackergruppen nu är tilltäppta.
Coop meddelade att efter att ha upptäckt attacken, påbörjat en intern utredning med hjälp från externa cybersäkerhetsexperter från Stockholm för att förstå händelsens omfattning. Även om företaget fastställde att ”syftet är någon form av ekonomisk utpressning,” sade Olsson att Coop varken mottog något lösenkrav eller hade för avsikt att betala någon lösen.
Enligt Securityaffairs har Cactus ransomware-gänget tagit på sig ansvaret för cyberattacken mot Coop och listat företaget som ett offer på sin Tor dataläckage-webbplats. Gruppen påstår sig tagit kontroll över känslig personlig information om individer associerade med Coop och de har hotat att publicera mer än 20 000 stulna kataloger. Dessutom visar en skärmdump som delas av meterpreter.org att gruppen har 257 GB data som påstås vara stulen från detaljhandelsjätten.
Data kring anställda har också lagts ut på Darknet. De har publicerat en handfull anställdas personuppgifter och ID-kort som bevis på hackningen.
Hur gick attacken troligtvis till?
Cactus ransomware använder SoftPerfect Network Scanner (netscan) för att leta efter andra mål på nätverket tillsammans med PowerShell-kommandon för att räkna upp slutpunkter. Ransomware programvaran identifierar användarkonton genom att visa framgångsrika inloggningar i Windows Event Viewer, den använder också en modifierad variant av det öppna källkodsverktyget PSnmap Tool.
Cactus ransomware förlitar sig på flera legitima verktyg (t.ex. Splashtop, AnyDesk, SuperOps RMM) för att uppnå fjärråtkomst och använder Cobalt Strike och proxiverktyget Chisel i aktiviteter efter exploatering.
När skadeprogrammet har eskalerat privilegierna på en maskin, använder gärningsmännen ett batch-skript för att avinstallera populära antiviruslösningar som är installerade på maskinen.
Cactus använder Rclone-verktyget för dataexfiltrering och använde ett PowerShell-skript som kallas TotalExec, vilket tidigare användes av BlackBasta ransomware-operatörer, för att automatisera utrullningen av krypteringsprocessen.
Inte första gången som Coop är drabbad av cyberatack
Det är inte första gången kedjan är drabbad av cyberattacker. I juli 2021 var de det första företaget att offentliggöra påverkan av ransomware-attacken i leveranskedjan som drabbade Kaseya. Coop använder inte Kesaya-programvara själva men påverkades ändå av incidenten eftersom en av deras mjukvaruleverantörer använde programmet. Enligt BleepingComputer var den drabbade leverantören Visma som hanterade betalsystemen för stormarknadskedjan.
