"Cactus" Ransomware slår Schneider Electric

Schneider Electric har fallit offer för en cyberattack som påverkar dess Sustainability Business-division, och rapporter hittills har tillskrivit den en växande ransomware-operation som kallas "Cactus".

Schneider Electric är världsledande inom industriell tillverkning, oavsett om det är utrustning för industriell automation och styrsystem, byggnadsautomation, energilagring med mera. Enligt ett pressmeddelande från industrijätten begränsades skadan från dess intrång den 17 januari till endast dess hållbarhetsavdelning, som tillhandahåller programvara och konsulttjänster till företag, och påverkade inga säkerhetskritiska system.

Ändå står företaget inför potentiella återverkningar om sina kunders affärsdata läcker ut. Enligt Bleeping Computer har Cactus ransomware-gänget – en relativt ung men ändå produktiv grupp – gjort anspråk på attacken. (När Dark Reading kontaktade Schneider Electric för bekräftelse, bekräftade eller förnekade företaget inte denna tillskrivning.)

Vad hände med Schneider Electric

Schneider Electric har ännu inte avslöjat omfattningen av data som kan ha gått förlorade för sina angripare, men har erkänt en berörd plattform: Resource Advisor, som hjälper organisationer att spåra och hantera deras ESG-, energi- och hållbarhetsrelaterade data. 

Attacken var helt begränsad till plattformar och verksamheter associerade med dess hållbarhetsdivision eftersom företaget, förklarade, är "en autonom enhet som driver sin isolerade nätverksinfrastruktur."

Företaget noterade också att det redan har informerat berörda kunder, och det förväntar sig att affärsverksamheten ska återgå till det normala senast den 31 januari.

Men det kanske inte är slutet på historien, eftersom Schneider Sustainability betjänar ett brett spektrum av organisationer i mer än 100 länder, inklusive 30 % av Fortune 500, från och med 2021. Att ha så många potentiellt påverkade kunder kan ha betydelse för hur företaget hanterar ett krav på lösen.

Vad du behöver veta om Cactus Ransomware

Cactus är inte ens ett år gammal än, efter att ha kommit till ransomware-scenen förra mars. Redan är det dock en av planetens mest produktiva hotaktörer.

Enligt uppgifter från NCC Group, som delas med Dark Reading via e-post, har Cactus krävt tvåsiffriga offer nästan varje månad sedan juli förra året. Dess mest trafikerade sträckor hittills har varit september då det tog 33 hårbotten, och i december 29 hårbotten, vilket gör den till den näst mest trafikerade gruppen under den perioden, endast efter LockBit. Dess cirka 100 offer har hittills sträckt sig över 16 branscher, oftast fordonssektorn, konstruktion och teknik samt mjukvara och IT.

Men det är inte av någon urskiljbar teknisk anledning som den har uppnått så mycket så snabbt, säger Vlad Pasca, senior malware- och hotanalytiker för SecurityScorecard, som skrev en whitepaper om gruppen förra hösten. I allmänhet förlitar sig Cactus bara på kända sårbarheter och off-the-shelf mjukvara.

"Initial åtkomst uppnås med Fortinet VPN-sårbarheter, och sedan använder de verktyg som SoftPerfect Network Scanner och PowerShell för att räkna upp värdarna i nätverket och utföra vissa sidorörelser," säger Pasca. Kanske, föreslår han, är Cactus banalitet lärdomen att ta med sig från Schneider Electrics historia - att "även om du har en stor budget för cybersäkerhet, kan du fortfarande påverkas på grund av sådana grundläggande sårbarheter."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/ics-ot-security/cactus-ransomware-schneider-electric-sustainability-division