Подразделение Schneider по устойчивому развитию, которое предоставляет предприятиям программное обеспечение и консалтинговые услуги, было атаковано киберпреступниками в середине января.
Schneider Electric стала жертвой кибератаки, затронувшей ее подразделение устойчивого развития, и в сообщениях до сих пор сообщалось, что это связано с растущей операцией по вымогательству под названием «Cactus».
Schneider Electric — мировой лидер в области промышленного производства, будь то оборудование для промышленной автоматизации и систем управления, автоматизации зданий, накопителей энергии и т. д. Согласно пресс-релизу промышленного гиганта, ущерб от взлома 17 января ограничился только его подразделением устойчивого развития, которое предоставляет предприятиям программное обеспечение и консультационные услуги, и не затронул ни одной критически важной для безопасности системы .
Тем не менее, компания столкнется с потенциальными последствиями, если произойдет утечка бизнес-данных ее клиентов. По данным Bleeping Computer , ответственность за атаку взяла на себя банда вымогателей Cactus — относительно молодая, но плодовитая группа. (Когда Dark Reading обратилась к Schneider Electric за подтверждением, компания не подтвердила и не опровергла эту версию.)
Что случилось с Schneider Electric
Schneider Electric еще не раскрыла объем данных, которые могли быть потеряны злоумышленниками, но признала одну затронутую платформу: Resource Advisor, которая помогает организациям отслеживать и управлять своими данными, связанными с ESG, энергетикой и устойчивым развитием.
Атака была полностью ограничена платформами и операциями, связанными с ее подразделением устойчивого развития , поскольку, как пояснила компания, это «автономная организация, управляющая своей изолированной сетевой инфраструктурой».
Компания также отметила, что уже проинформировала затронутых клиентов и ожидает, что бизнес-операции вернутся в нормальное русло к 31 января.
Но это, возможно, не конец истории, поскольку по состоянию на 2021 год Schneider Sustainability обслуживает широкий круг организаций в более чем 100 странах, включая 30% компаний из списка Fortune 500. Наличие такого большого количества потенциально затронутых клиентов может повлиять на то, как компания обращается с требованием выкупа.
Что нужно знать о программе-вымогателе Cactus
Cactus еще нет и года, он впервые появился на сцене программ-вымогателей в марте прошлого года. Однако уже сейчас это один из самых плодовитых участников угроз на планете.
Согласно данным NCC Group, переданным Dark Reading по электронной почте, Cactus почти каждый месяц, начиная с июля прошлого года, заявляет о двузначных числах жертв. На данный момент самыми загруженными периодами были сентябрь, когда было совершено 33 скальпа, а в декабре — 29 скальпов, что сделало ее второй по загруженности группой за этот период после только LockBit. На данный момент около 100 его жертв охватывают 16 отраслей, чаще всего автомобильный сектор, строительство и машиностроение, а также программное обеспечение и информационные технологии.
Но это не какая-то видимая техническая причина, по которой она добилась столь многого так быстро, говорит Влад Паска, старший аналитик по вредоносному ПО и угрозам SecurityScorecard, который осенью прошлого года написал официальный документ о группе . В целом Cactus просто полагается на известные уязвимости и готовое программное обеспечение.
«Первоначальный доступ достигается с помощью уязвимостей Fortinet VPN, а затем они используют такие инструменты, как SoftPerfect Network Scanner и PowerShell, для подсчета хостов в сети и выполнения некоторого горизонтального перемещения», — говорит Паска. Возможно, предполагает он, банальность Cactus — это урок, который можно извлечь из истории Schneider Electric: «даже если у вас большой бюджет на кибербезопасность , вы все равно можете пострадать из-за таких базовых уязвимостей».