Mã độc tống tiền 'Cactus' tấn công Schneider Electric

Schneider Electric đã trở thành nạn nhân của một cuộc tấn công mạng ảnh hưởng đến bộ phận Kinh doanh bền vững của tập đoàn và cho đến nay, các báo cáo cho rằng nguyên nhân là do hoạt động ransomware đang gia tăng có tên là “Cactus”.

Schneider Electric là công ty hàng đầu thế giới về sản xuất công nghiệp, có thể là thiết bị cho hệ thống điều khiển và tự động hóa công nghiệp, tự động hóa tòa nhà, lưu trữ năng lượng, v.v. Theo một thông cáo báo chí từ gã khổng lồ công nghiệp, thiệt hại từ vi phạm ngày 17 tháng XNUMX chỉ giới hạn ở bộ phận phát triển bền vững, nơi cung cấp phần mềm và dịch vụ tư vấn cho các doanh nghiệp, và không ảnh hưởng đến hệ thống quan trọng về an toàn.

Tuy nhiên, công ty phải đối mặt với những hậu quả tiềm tàng nếu dữ liệu kinh doanh của khách hàng bị rò rỉ. Theo Bleeping Computer, nhóm ransomware Cactus – một nhóm tương đối trẻ nhưng hoạt động mạnh mẽ – đã nhận trách nhiệm về vụ tấn công. (Khi Dark Reading liên hệ với Schneider Electric để chứng thực, công ty không xác nhận cũng như phủ nhận thông tin này.)

Chuyện gì đã xảy ra với Schneider Electric

Schneider Electric vẫn chưa tiết lộ phạm vi dữ liệu có thể bị mất vào tay những kẻ tấn công, nhưng thừa nhận một nền tảng bị ảnh hưởng: Resource Advisor, giúp các tổ chức theo dõi và quản lý dữ liệu liên quan đến ESG, năng lượng và tính bền vững của họ. 

Cuộc tấn công hoàn toàn giới hạn ở các nền tảng và hoạt động liên quan đến bộ phận Phát triển bền vững của nó bởi vì, công ty giải thích, đây là “một thực thể tự trị vận hành cơ sở hạ tầng mạng bị cô lập của mình”.

Công ty cũng lưu ý rằng họ đã thông báo cho những khách hàng bị ảnh hưởng và dự kiến ​​hoạt động kinh doanh sẽ trở lại bình thường trước ngày 31 tháng XNUMX.

Nhưng đó có thể chưa phải là kết thúc của câu chuyện, vì Tính bền vững của Schneider phục vụ nhiều tổ chức tại hơn 100 quốc gia, bao gồm cả 30% của Fortune 500, kể từ năm 2021. Việc có quá nhiều khách hàng có khả năng bị ảnh hưởng có thể ảnh hưởng đến cách công ty giải quyết nhu cầu tiền chuộc.

Những điều bạn cần biết về Cactus Ransomware

Cactus thậm chí còn chưa được một tuổi, lần đầu tiên xuất hiện trong bối cảnh ransomware vào tháng 3 năm ngoái. Tuy nhiên, nó đã là một trong những tác nhân đe dọa lớn nhất hành tinh.

Theo dữ liệu từ NCC Group, được chia sẻ với Dark Reading qua email, Cactus đã yêu cầu bồi thường số nạn nhân hai con số gần như mỗi tháng kể từ tháng 33 năm ngoái. Đoạn đường bận rộn nhất của nó cho đến nay là tháng 29 khi phải thực hiện XNUMX cuộc điều tra và vào tháng XNUMX, XNUMX lần điều tra, khiến nó trở thành nhóm bận rộn thứ hai trong khoảng thời gian đó, chỉ sau KhóaBit. Cho đến nay, khoảng 100 nạn nhân của nó đã trải dài trên 16 ngành công nghiệp, phổ biến nhất là lĩnh vực ô tô, xây dựng và kỹ thuật, phần mềm và CNTT.

Vlad Pasca, nhà phân tích mối đe dọa và phần mềm độc hại cao cấp của SecurityScorecard, người đã viết sách trắng về nhóm mùa thu năm ngoái. Nói chung, Cactus chỉ dựa vào các lỗ hổng đã biết và phần mềm có sẵn.

Pasca cho biết: “Quyền truy cập ban đầu đạt được bằng cách sử dụng các lỗ hổng Fortinet VPN, sau đó họ sử dụng các công cụ như SoftPerfect Network Scanner và PowerShell để liệt kê các máy chủ trong mạng và thực hiện một số chuyển động ngang”. Ông gợi ý, có lẽ sự tầm thường của Cactus là bài học rút ra từ câu chuyện của Schneider Electric - rằng “ngay cả khi bạn có ngân sách lớn cho an ninh mạng, bạn vẫn có thể bị ảnh hưởng vì những lỗ hổng cơ bản như vậy”.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/ics-ot-security/cactus-ransomware-schneider-electric-sustainability-division