Le ransomware « Cactus » frappe Schneider Electric

Schneider Electric a été victime d'une cyberattaque affectant sa division Sustainability Business, et les rapports jusqu'à présent l'ont attribué à une opération de ransomware en pleine expansion appelée « Cactus ».

Schneider Electric est un leader mondial dans la fabrication industrielle, qu'il s'agisse d'équipements pour les systèmes d'automatisation et de contrôle industriels, d'automatisation des bâtiments, de stockage d'énergie, etc. Selon un communiqué de presse du géant industriel, les dommages causés par sa violation du 17 janvier se sont limités à la seule division de développement durable, qui fournit des logiciels et des services de conseil aux entreprises, et n'a affecté aucun système critique pour la sécurité.

Néanmoins, l’entreprise fait face à des répercussions potentielles en cas de fuite des données commerciales de ses clients. Selon Bleeping Computer, le gang du ransomware Cactus – un groupe relativement jeune mais prolifique – a revendiqué l'attaque. (Lorsque Dark Reading a contacté Schneider Electric pour obtenir une confirmation, la société n'a ni confirmé ni nié cette attribution.)

Qu'est-il arrivé à Schneider Electric

Schneider Electric n'a pas encore révélé l'étendue des données qui pourraient avoir été perdues à cause de ses attaquants, mais a reconnu une plateforme concernée : Resource Advisor, qui aide les organisations à suivre et à gérer leurs données ESG, énergétiques et durables. 

L'attaque était entièrement limitée aux plates-formes et aux opérations associées à sa division Développement durable car, a expliqué l'entreprise, il s'agit d'une « entité autonome exploitant son infrastructure de réseau isolée ».

La société a également indiqué qu'elle avait déjà informé les clients concernés et qu'elle s'attend à ce que les opérations commerciales reviennent à la normale d'ici le 31 janvier.

Mais ce n'est peut-être pas la fin de l'histoire, puisque Schneider Sustainability sert un large éventail d'organisations dans plus de 100 pays, dont 30% du Fortune 500, à partir de 2021. Le fait d’avoir autant de clients potentiellement concernés peut avoir une incidence sur la manière dont l’entreprise répond à une demande de rançon.

Ce que vous devez savoir sur le ransomware Cactus

Cactus n’a même pas encore un an, étant arrivé sur la scène des ransomwares en mars dernier. Mais c’est déjà l’un des acteurs menaçants les plus prolifiques de la planète.

Selon les données du groupe NCC, partagées par courrier électronique avec Dark Reading, Cactus fait des victimes à deux chiffres presque chaque mois depuis juillet dernier. Jusqu'à présent, ses périodes les plus chargées ont été septembre, où il a fallu 33 scalps, et en décembre, 29 scalps, ce qui en fait le deuxième groupe le plus occupé au cours de cette période, derrière seulement Verrouillage. Ses quelque 100 victimes couvrent jusqu'à présent 16 secteurs, le plus souvent le secteur automobile, la construction et l'ingénierie, ainsi que les logiciels et l'informatique.

Mais ce n'est pas pour une raison technique perceptible qu'il a accompli autant de choses aussi rapidement, déclare Vlad Pasca, analyste principal des logiciels malveillants et des menaces pour SecurityScorecard, qui a écrit un livre blanc sur le groupe l'automne dernier. En général, Cactus s'appuie uniquement sur des vulnérabilités connues et des logiciels disponibles dans le commerce.

"L'accès initial est obtenu à l'aide des vulnérabilités du VPN Fortinet, puis ils utilisent des outils tels que SoftPerfect Network Scanner et PowerShell pour énumérer les hôtes du réseau et effectuer des mouvements latéraux", explique Pasca. Peut-être, suggère-t-il, la banalité de Cactus est-elle la leçon à retenir de l'histoire de Schneider Electric : « même si vous disposez d'un gros budget pour la cybersécurité, vous pourriez quand même être touché en raison de ces vulnérabilités fondamentales ».

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/ics-ot-security/cactus-ransomware-schneider-electric-sustainability-division