Oprogramowanie ransomware „Cactus” atakuje firmę Schneider Electric

Oprogramowanie ransomware „Cactus” atakuje firmę Schneider Electric

Znacznik czasu: 30 stycznia 2024 5:34
Oprogramowanie ransomware „Cactus” atakuje Schneider Electric PlatoBlockchain Data Intelligence. Wyszukiwanie pionowe. AI.

Schneider Electric padł ofiarą cyberataku na jej dział ds. zrównoważonego rozwoju, a dotychczasowe raporty przypisują go rosnącej liczbie operacji oprogramowania ransomware o nazwie „Cactus”.

Schneider Electric jest światowym liderem w produkcji przemysłowej, czy to sprzętu do automatyki przemysłowej i systemów sterowania, automatyki budynków, magazynowania energii i nie tylko. Według informacji prasowej ze strony przemysłowego giganta szkody spowodowane naruszeniem z 17 stycznia ograniczyły się jedynie do jego działu ds. zrównoważonego rozwoju, który dostarcza przedsiębiorstwom oprogramowanie i usługi doradcze, oraz nie dotyczyło żadnych systemów krytycznych dla bezpieczeństwa.

Mimo to firma stoi w obliczu potencjalnych konsekwencji w przypadku wycieku danych biznesowych jej klientów. Według Bleeping Computer do ataku przyznał się gang zajmujący się oprogramowaniem ransomware Cactus — stosunkowo młoda, ale płodna grupa. (Kiedy firma Dark Reading zwróciła się do firmy Schneider Electric z prośbą o potwierdzenie, firma nie potwierdziła ani nie zaprzeczyła temu przypisaniu.)

Co się stało ze Schneider Electric

Schneider Electric nie ujawnił jeszcze zakresu danych, które mogły zostać utracone przez osoby atakujące, ale potwierdził, że dotyczy to jednej platformy: Resource Advisor, która pomaga organizacjom śledzić i zarządzać danymi związanymi z ESG, energią i zrównoważonym rozwojem. 

Atak był całkowicie ograniczony do platform i operacji związanych z działem zrównoważonego rozwoju, ponieważ – jak wyjaśniła firma – jest to „autonomiczny podmiot obsługujący izolowaną infrastrukturę sieciową”.

Firma zauważyła również, że poinformowała już dotkniętych klientów i oczekuje, że działalność biznesowa wróci do normy do 31 stycznia.

Ale to może nie być koniec historii, ponieważ Schneider Sustainability obsługuje szeroką gamę organizacji w ponad 100 krajach, w tym 30% z listy Fortune 500, stan na 2021 r. Tak duża liczba klientów, których potencjalnie może to dotyczyć, może mieć wpływ na sposób, w jaki firma reaguje na żądanie okupu.

Co musisz wiedzieć o oprogramowaniu ransomware Cactus

Cactus nie ma jeszcze nawet roku, ponieważ po raz pierwszy pojawił się na scenie oprogramowania ransomware w marcu ubiegłego roku. Jednak już teraz jest jednym z najbardziej płodnych aktorów zagrażających naszej planecie.

Według danych NCC Group, udostępnionych firmie Dark Reading pocztą elektroniczną, od lipca ubiegłego roku Cactus niemal co miesiąc zgłaszał dwucyfrowe ofiary. Do tej pory najbardziej obciążonym okresem był wrzesień, kiedy zebrano 33 skalpy, oraz w grudniu 29 skalpów, co czyni ją drugą najbardziej ruchliwą grupą w tym okresie, za jedynie Bit blokady. Do tej pory około 100 jego ofiar działało w 16 branżach, najczęściej w branży motoryzacyjnej, budownictwie i inżynierii oraz oprogramowaniu i IT.

Jednak nie z żadnego dostrzegalnego powodu technicznego udało mu się osiągnąć tak wiele w tak krótkim czasie, mówi Vlad Pasca, starszy analityk ds. złośliwego oprogramowania i zagrożeń w firmie SecurityScorecard, który napisał białą księgę na temat grupy ostatni upadek. Ogólnie rzecz biorąc, Cactus opiera się po prostu na znanych lukach i gotowym oprogramowaniu.

„Początkowy dostęp uzyskuje się przy użyciu luk w zabezpieczeniach Fortinet VPN, a następnie za pomocą narzędzi takich jak SoftPerfect Network Scanner i PowerShell wylicza się hosty w sieci i wykonuje pewne ruchy boczne” – mówi Pasca. Być może, sugeruje, banalność Cactusa jest lekcją, którą można wyciągnąć z historii Schneider Electric – że „nawet jeśli masz duży budżet na cyberbezpieczeństwo, takie podstawowe luki w dalszym ciągu mogą mieć na ciebie wpływ”.

Znak czasu:

Więcej z Mroczne czytanie