Ransomware-ul „Cactus” lovește Schneider Electric

Ransomware-ul „Cactus” lovește Schneider Electric

Marca temporală: 30 ianuarie 2024 5:34
Ransomware-ul „Cactus” lovește Schneider Electric PlatoBlockchain Data Intelligence. Căutare verticală. Ai.

Schneider Electric a căzut victima unui atac cibernetic care a afectat divizia de Sustainability Business, iar rapoartele de până acum l-au atribuit unei operațiuni de ransomware în creștere numită „Cactus”.

Schneider Electric este lider mondial în producția industrială, fie că este vorba de echipamente pentru automatizarea industrială și sisteme de control, automatizarea clădirilor, stocarea energiei și multe altele. Potrivit unui comunicat de presă de la gigantul industrial, pagubele cauzate de încălcarea din 17 ianuarie s-au limitat doar la divizia de sustenabilitate, care furnizează software și servicii de consultanță întreprinderilor și nu a afectat sisteme critice pentru siguranță.

Cu toate acestea, compania se confruntă cu potențiale repercusiuni dacă datele de afaceri ale clienților săi sunt scurse. Potrivit Bleeping Computer, banda de ransomware Cactus – un grup relativ tânăr, dar prolific – a revendicat atacul. (Când Dark Reading a contactat Schneider Electric pentru coroborare, compania nu a confirmat și nici nu a infirmat această atribuire.)

Ce sa întâmplat cu Schneider Electric

Schneider Electric nu a dezvăluit încă domeniul de aplicare a datelor care ar fi putut fi pierdute de atacatorii săi, dar a recunoscut o platformă afectată: Resource Advisor, care ajută organizațiile să urmărească și să își gestioneze datele ESG, energie și sustenabilitate. 

Atacul a fost limitat în întregime la platformele și operațiunile asociate cu divizia de sustenabilitate, deoarece, a explicat compania, este „o entitate autonomă care își operează infrastructura de rețea izolată”.

De asemenea, compania a menționat că a informat deja clienții afectați și se așteaptă ca operațiunile comerciale să revină la normal până pe 31 ianuarie.

Dar s-ar putea să nu fie sfârșitul poveștii, deoarece Schneider Sustainability deservește o gamă largă de organizații din peste 100 de țări, inclusiv 30% din Fortune 500, începând cu 2021. Având atât de mulți clienți potențial afectați, ar putea influența modul în care compania abordează cererea de răscumpărare.

Ce trebuie să știți despre Cactus Ransomware

Cactus nu are încă un an, fiindcă a ajuns pentru prima dată pe scena ransomware în martie trecut. Deja, totuși, este unul dintre cei mai prolifici actori ai amenințărilor planetei.

Potrivit datelor de la NCC Group, transmise Dark Reading prin e-mail, Cactus a revendicat victime cu două cifre aproape în fiecare lună din iulie anul trecut. Cele mai aglomerate porțiuni de până acum au fost septembrie, când a luat 33 de scalpi, iar în decembrie, 29 de scalpi, făcându-l al doilea grup cel mai aglomerat în acea perioadă, după numai LockBit. Cele aproximativ 100 de victime ale sale au cuprins până acum 16 industrii, cel mai frecvent sectorul auto, construcții și inginerie, software și IT.

Dar nu din niciun motiv tehnic perceptibil a realizat atât de mult atât de repede, spune Vlad Pasca, analist senior de malware și amenințări pentru SecurityScorecard, care a scris o carte albă despre grup toamna trecută. În general, Cactus se bazează doar pe vulnerabilități cunoscute și pe software-ul disponibil.

„Accesul inițial se realizează folosind vulnerabilități VPN Fortinet, iar apoi folosesc instrumente precum SoftPerfect Network Scanner și PowerShell pentru a enumera gazdele din rețea și pentru a efectua o mișcare laterală”, spune Pasca. Poate, sugerează el, banalitatea lui Cactus este lecția de luat din povestea lui Schneider Electric - că „chiar dacă ai un buget mare pentru securitate cibernetică, s-ar putea să fii totuși afectat din cauza unor astfel de vulnerabilități de bază”.

Timestamp-ul:

Mai mult de la Lectură întunecată