Izsiljevalska programska oprema 'Cactus' napade Schneider Electric

Schneider Electric je postal žrtev kibernetskega napada, ki je prizadel njegov oddelek za trajnostni razvoj, dosedanja poročila pa so ga pripisala naraščajoči operaciji izsiljevalske programske opreme, imenovani »Cactus«.

Schneider Electric je vodilni svetovni proizvajalec industrijske proizvodnje, pa naj gre za opremo za industrijsko avtomatizacijo in nadzorne sisteme, avtomatizacijo stavb, shranjevanje energije itd. Glede na sporočilo za javnost od industrijskega velikana je bila škoda zaradi njegove kršitve 17. januarja omejena samo na njegov oddelek za trajnostni razvoj, ki podjetjem zagotavlja programsko opremo in svetovalne storitve, in ni vplivalo na varnostno kritične sisteme.

Kljub temu se podjetje sooča z morebitnimi posledicami, če poslovni podatki njegovih strank uhajajo. Po poročanju Bleeping Computer je odgovornost za napad prevzela tolpa izsiljevalske programske opreme Cactus – razmeroma mlada, a plodna skupina. (Ko se je Dark Reading obrnil na Schneider Electric za potrditev, podjetje tega pripisa ni potrdilo niti zanikalo.)

Kaj se je zgodilo podjetju Schneider Electric

Schneider Electric še ni razkril obsega podatkov, ki so bili morda izgubljeni za njegove napadalce, je pa priznal eno prizadeto platformo: Resource Advisor, ki pomaga organizacijam slediti in upravljati njihove ESG, energetske in trajnostne podatke. 

Napad je bil v celoti omejen na platforme in operacije, povezane z njegovim oddelkom za trajnostni razvoj, ker je podjetje pojasnilo, da je "avtonomni subjekt, ki upravlja svojo izolirano omrežno infrastrukturo."

Družba je še zapisala, da je prizadete stranke že obvestila, poslovanje pa pričakuje do 31. januarja.

Toda to morda še ni konec zgodbe, saj Schneider Sustainability služi širokemu krogu organizacij v več kot 100 državah, vključno z 30 % Fortune 500, od leta 2021. Toliko potencialno prizadetih strank lahko vpliva na to, kako podjetje obravnava zahtevo po odkupnini.

Kaj morate vedeti o Cactus Ransomware

Cactus še ni star niti eno leto, saj je prvič prišel na prizorišče izsiljevalske programske opreme lani marca. Vendar pa je že zdaj eden najplodnejših akterjev groženj planetu.

Glede na podatke skupine NCC, ki jih je Dark Reading delil po e-pošti, je Cactus od lanskega julija skoraj vsak mesec zahteval dvomestno število žrtev. Njena najbolj obremenjena odseka sta bila septembra, ko je vzela 33 skalpov, in decembra 29 skalpov, s čimer je bila druga najbolj obremenjena skupina v tem obdobju, za samo Lockbit. Njegovih približno 100 žrtev je do zdaj obsegalo 16 industrij, najpogosteje avtomobilski sektor, gradbeništvo in inženiring ter programsko opremo in IT.

Vendar ni iz kakršnega koli opaznega tehničnega razloga, da je tako hitro dosegel toliko, pravi Vlad Pasca, višji analitik zlonamerne programske opreme in groženj za SecurityScorecard, ki je napisal bela knjiga o skupini lansko jesen. Na splošno se Cactus opira samo na znane ranljivosti in standardno programsko opremo.

»Začetni dostop je dosežen z uporabo ranljivosti Fortinet VPN, nato pa uporabijo orodja, kot sta SoftPerfect Network Scanner in PowerShell, da naštejejo gostitelje v omrežju in izvedejo nekaj bočnega premika,« pravi Pasca. Morda, predlaga, je Cactusova banalnost lekcija, ki jo je treba povzeti iz zgodbe Schneider Electrica – da »tudi če imate velik proračun za kibernetsko varnost, boste morda še vedno prizadeti zaradi tako osnovnih ranljivosti«.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/ics-ot-security/cactus-ransomware-schneider-electric-sustainability-division