קבוצת הכופרה Cactus פרצה למערכת המחשוב של Coop – אחת מספקיות הקמעונאות והמכולת הגדולות בשוודיה, בעלת כ- 800 חנויות ברחבי המדינה. החנויות נמצאות בבעלות משותפת של 3.5 מיליון חברים ב- 29 עמותות צרכנים. כל העודפים שנוצרים בעסק חוזרים לחברים או מושקעים מחדש בעסק, מה שיוצר מחזוריות מעגלית. קבוצת הכופרה Cactus פרצה ל- Coop ומאיימת לחשוף כמות עצומה של מידע אישי, למעלה מ- 21 אלף תיקיות המכילות מידע. כמו כן, הוסיפה קבוצת הכופרה Cactus את Coop לרשימת הקורבנות באתר הדלפות Tor שלה ופרסמה תעודות זהות כהוכחה לפריצה.
ביולי 2021 הייתה רשת הסופרמרקטים השבדית Coop החברה הראשונה שחשפה את ההשפעה של מתקפת כופרה על שרשרת אספקה. רשת הסופרמרקטים Coop סגרה כ- 500 חנויות כתוצאה ממתקפת כופרה של שרשרת אספקה שפגעה בספקית התוכנה Kaseya. יש לציין בהקשר זה כי Coop כלל לא השתמשה בתוכנת Kesaya והיא הושפעה ממתקפת הכופרה מכיוון שאחד מספקי התוכנה שלהם עשה כן. לפי BleepingComputer, הספק שנפגע היה MSP Visma השוודי, המנהל את מערכות התשלום עבור רשת הסופרמרקטים. Visma אישרה שהם הושפעו ממתקפת הסייבר על Kaseya – מתקפה שאפשרה לכופרה REvil להצפין את מערכות הלקוחות שלהם.
קבוצת הכופרה Cactus פעילה מאז מרץ 2023 והיא משתמשת במודל סחיטה כפולה. הכופרה של Cactus משתמשת בסורק הרשת SoftPerfect (netscan) כדי לחפש יעדים ברשת יחד עם פקודות PowerShell כדי לספור נקודות קצה. הכופרה מזהה חשבונות משתמשים על ידי צפייה בכניסות מוצלחות ב- Windows Event Viewer, היא גם משתמשת בגרסה שונה של כלי ה- PSnmap בקוד פתוח. כופרת Cactus מסתמכת על כלים לגיטימיים מרובים (למשל Splashtop, AnyDesk, SuperOps RMM) כדי להשיג גישה מרחוק וכן, משתמשת ב- Cobalt Strike ובכלי Proxy Chisel בפעילויות שלאחר הפריצה למערכות המחשוב של היעד. לאחר שהכופרה מסלימה את הרשאות הגישה במערכת היעד, משתמשים ההאקרים בסקריפט אצווה כדי להסיר את ההתקנה של פתרונות אנטי-וירוס פופולריים שהותקנו במערכת המחשוב אליה פרצו. Cactus משתמשים בכלי Rclone לחילוץ נתונים וכן משתמשים בסקריפט PowerShell בשם TotalExec – ששימש בעבר את מפעילי כופרת BlackBasta, כדי להפוך את הפריסה של תהליך ההצפנה לאוטומטי.
