Il ransomware "Cactus" colpisce Schneider Electric

Il ransomware "Cactus" colpisce Schneider Electric

Timestamp: 30 gennaio 2024 5:34
Il ransomware "Cactus" colpisce la data intelligence PlatoBlockchain di Schneider Electric. Ricerca verticale. Ai.

Schneider Electric è stata vittima di un attacco informatico che ha colpito la sua divisione Sustainability Business e i rapporti finora lo hanno attribuito a un’operazione ransomware in aumento chiamata “Cactus”.

Schneider Electric è leader mondiale nella produzione industriale, che si tratti di apparecchiature per l'automazione industriale e sistemi di controllo, automazione degli edifici, stoccaggio di energia e altro ancora. Secondo un comunicato stampa da parte del colosso industriale, il danno derivante dalla violazione del 17 gennaio è stato limitato alla sola divisione sostenibilità, che fornisce software e servizi di consulenza alle imprese, e non ha interessato alcun sistema critico per la sicurezza.

Tuttavia, l'azienda si trova ad affrontare potenziali ripercussioni in caso di fuga di dati aziendali dei suoi clienti. Secondo Bleeping Computer, la banda del ransomware Cactus, un gruppo relativamente giovane ma prolifico, ha rivendicato l’attacco. (Quando Dark Reading ha contattato Schneider Electric per avere conferma, la società non ha confermato né negato questa attribuzione.)

Cosa è successo a Schneider Electric

Schneider Electric non ha ancora rivelato la portata dei dati che potrebbero essere andati perduti dai suoi aggressori, ma ha riconosciuto una piattaforma interessata: Resource Advisor, che aiuta le organizzazioni a monitorare e gestire i propri dati relativi a ESG, energia e sostenibilità. 

L'attacco è stato interamente limitato alle piattaforme e alle operazioni associate alla divisione Sostenibilità perché, ha spiegato la società, si tratta di "un'entità autonoma che gestisce la propria infrastruttura di rete isolata".

La società ha inoltre osservato di aver già informato i clienti interessati e di aspettarsi che le operazioni commerciali tornino alla normalità entro il 31 gennaio.

Ma questa potrebbe non essere la fine della storia, dal momento che Schneider Sustainability serve un’ampia gamma di organizzazioni in più di 100 paesi, tra cui Il 30% delle aziende Fortune 500, a partire dal 2021. Avere così tanti clienti potenzialmente interessati può influire sul modo in cui l'azienda affronta una richiesta di riscatto.

Cosa devi sapere sul ransomware Cactus

Cactus non ha ancora nemmeno un anno ed è arrivato sulla scena dei ransomware lo scorso marzo. Tuttavia, è già uno degli attori più prolifici del pianeta.

Secondo i dati del gruppo NCC, condivisi con Dark Reading via e-mail, Cactus miete vittime a due cifre quasi ogni mese dallo scorso luglio. I periodi più trafficati finora sono stati a settembre, quando sono stati prelevati 33 scalpi, e a dicembre, 29 scalpi, diventando così il secondo gruppo più trafficato in quel periodo, dietro solo a Lockbit. Le sue circa 100 vittime finora hanno interessato 16 settori, più comunemente il settore automobilistico, l’edilizia e l’ingegneria, nonché il software e l’IT.

Ma non è per qualche ragione tecnica riconoscibile che ha ottenuto risultati così rapidi, afferma Vlad Pasca, analista senior di malware e minacce per SecurityScorecard, che ha scritto un white paper sul gruppo l'autunno scorso. In generale, Cactus si basa solo su vulnerabilità note e software standard.

"L'accesso iniziale viene ottenuto utilizzando le vulnerabilità VPN Fortinet, quindi utilizzano strumenti come SoftPerfect Network Scanner e PowerShell per enumerare gli host nella rete ed eseguire alcuni movimenti laterali", afferma Pasca. Forse, suggerisce, la banalità di Cactus è la lezione da imparare dalla storia di Schneider Electric: "anche se disponi di un budget elevato per la sicurezza informatica, potresti comunque essere colpito da tali vulnerabilità di base".

Timestamp:

Di più da Lettura oscura