'Cactus' Ransomware slår Schneider Electric

Schneider Electric har blitt offer for et nettangrep som påvirker Sustainability Business-divisjonen, og rapporter så langt har tilskrevet det en økende løsepengevareoperasjon kalt «Cactus».

Schneider Electric er verdensledende innen industriell produksjon, det være seg utstyr for industriell automasjon og kontrollsystemer, bygningsautomasjon, energilagring og mer. I følge en pressemelding fra industrigiganten var skaden fra bruddet 17. januar begrenset til bare bærekraftsavdelingen, som leverer programvare og konsulenttjenester til bedrifter, og påvirket ingen sikkerhetskritiske systemer.

Likevel står selskapet overfor potensielle konsekvenser hvis kundenes forretningsdata blir lekket. Ifølge Bleeping Computer har gjengen Cactus løsepenge - en relativt ung, men produktiv gruppe - hevdet angrepet. (Da Dark Reading tok kontakt med Schneider Electric for bekreftelse, bekreftet eller avkreftet ikke selskapet denne tilskrivelsen.)

Hva skjedde med Schneider Electric

Schneider Electric har ennå ikke avslørt omfanget av data som kan ha gått tapt for angriperne, men anerkjente en berørt plattform: Resource Advisor, som hjelper organisasjoner med å spore og administrere deres ESG-, energi- og bærekraftsrelaterte data. 

Angrepet var helt begrenset til plattformer og operasjoner knyttet til bærekraftsdivisjonen fordi selskapet, forklarte, er "en autonom enhet som driver sin isolerte nettverksinfrastruktur."

Selskapet bemerket også at det allerede har informert berørte kunder, og det forventer at forretningsdriften vil gå tilbake til normalen innen 31. januar.

Men det er kanskje ikke slutten på historien, siden Schneider Sustainability betjener et bredt utvalg av organisasjoner i mer enn 100 land, inkludert 30 % av Fortune 500, fra og med 2021. Å ha så mange potensielt berørte kunder kan ha betydning for hvordan selskapet imøtekommer et krav om løsepenger.

Hva du trenger å vite om Cactus Ransomware

Cactus er ikke engang ett år gammel ennå, etter å ha ankommet løsepengevare-scenen i mars i fjor. Allerede imidlertid er det en av planetens mest produktive trusselaktører.

I følge data fra NCC Group, delt med Dark Reading via e-post, har Cactus krevd tosifrede ofre nesten hver måned siden juli i fjor. De travleste strekningene så langt har vært september da den tok 33 hodebunner, og i desember 29 hodebunner, noe som gjør den til den nest travleste gruppen i denne perioden, kun bak LockBit. Dets rundt 100 ofre har så langt spredt seg over 16 bransjer, oftest bilindustrien, bygg og anlegg, samt programvare og IT.

Men det er ikke av noen merkbar teknisk grunn at den har oppnådd så mye så raskt, sier Vlad Pasca, senior malware- og trusselanalytiker for SecurityScorecard, som skrev en whitepaper om gruppen sist høst. Generelt sett er Cactus bare avhengig av kjente sårbarheter og hyllevare.

"Innledende tilgang oppnås ved å bruke Fortinet VPN-sårbarheter, og deretter bruker de verktøy som SoftPerfect Network Scanner og PowerShell for å telle opp vertene i nettverket, og utføre noen sidebevegelser," sier Pasca. Kanskje, foreslår han, er Cactus' banalitet lærdommen å ta med seg fra Schneider Electrics historie - at "selv om du har et stort budsjett for cybersikkerhet, kan du fortsatt bli påvirket på grunn av slike grunnleggende sårbarheter."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/ics-ot-security/cactus-ransomware-schneider-electric-sustainability-division