您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
“梅開二度”!工業(yè)自動化巨頭施耐德電氣遭Cactus勒索軟件攻擊
BleepingComputer于1月29日報道,據(jù)知情人士透露,能源管理和自動化巨頭施耐德電氣遭受了Cactus勒索軟件攻擊,導(dǎo)致公司數(shù)據(jù)被盜。BleepingComputer獲悉,勒索軟件攻擊于本月初的1月17日襲擊了該公司的可持續(xù)發(fā)展業(yè)務(wù)部門。攻擊擾亂了施耐德電氣的部分資源顧問云平臺,該平臺至今仍處于中斷狀態(tài)。據(jù)報道,勒索軟件團(tuán)伙在網(wǎng)絡(luò)攻擊期間竊取了數(shù)TB的公司數(shù)據(jù),現(xiàn)在威脅該公司,如果不支付贖金,就會泄露被盜的數(shù)據(jù)。具體的勒索贖金金額也沒有披露,這很可能是受害者還在與勒索者談判中。雖然尚不清楚被盜的數(shù)據(jù)類型,但可持續(xù)發(fā)展業(yè)務(wù)部門為企業(yè)組織提供咨詢服務(wù),就可再生能源解決方案提供建議,并幫助他們滿足全球公司復(fù)雜的氣候監(jiān)管要求。2023年6月底,媒體曾披露該自動化巨頭遭到了MOVEit漏洞利用攻擊致數(shù)據(jù)泄露。
施耐德電氣可持續(xù)發(fā)展業(yè)務(wù)部門的客戶包括Allegiant Travel Company、Clorox、DHL、DuPont、 Hilton、 Lexmark, PepsiCo和Walmart。被盜數(shù)據(jù)可能包含有關(guān)客戶用電、工業(yè)控制和自動化系統(tǒng)以及環(huán)境和能源法規(guī)合規(guī)性的敏感信息。
目前尚不清楚施耐德電氣是否會支付贖金,但如果不支付贖金,很可能會看到勒索軟件團(tuán)伙泄露被盜數(shù)據(jù),就像他們在之前的攻擊之后所做的那樣。
施耐德電氣資源顧問平臺上的中斷消息
施耐德電氣在給 BleepingComputer的一份聲明中證實,其可持續(xù)發(fā)展業(yè)務(wù)部門遭受了網(wǎng)絡(luò)攻擊,并且數(shù)據(jù)被威脅行為者訪問。不過,該公司表示,此次攻擊僅限于該部門,并未影響公司其他部門。
“從恢復(fù)的角度來看,可持續(xù)發(fā)展業(yè)務(wù)正在執(zhí)行補(bǔ)救措施,以確保業(yè)務(wù)平臺恢復(fù)到安全的環(huán)境。團(tuán)隊目前正在測試受影響系統(tǒng)的操作能力,預(yù)計將在接下來的兩個工作日內(nèi)恢復(fù)訪問。
從遏制的角度來看,由于可持續(xù)發(fā)展業(yè)務(wù)是一個自治實體,運(yùn)營其隔離的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,施耐德電氣集團(tuán)內(nèi)沒有其他實體受到影響。
從影響評估的角度來看,正在進(jìn)行的調(diào)查表明數(shù)據(jù)已被訪問。隨著更多信息的出現(xiàn),施耐德電氣可持續(xù)發(fā)展業(yè)務(wù)部門將繼續(xù)與受影響的客戶直接對話,并繼續(xù)提供相關(guān)信息和幫助。
從取證分析的角度來看,領(lǐng)先的網(wǎng)絡(luò)安全公司和施耐德電氣全球事件響應(yīng)團(tuán)隊將繼續(xù)對該事件進(jìn)行詳細(xì)分析,并與相關(guān)當(dāng)局合作,根據(jù)結(jié)果采取進(jìn)一步行動。”
----施耐德電氣
施耐德電氣是一家法國跨國公司,生產(chǎn)能源和自動化產(chǎn)品,范圍從大型商店中的家用電氣元件到企業(yè)級工業(yè)控制和樓宇自動化產(chǎn)品。
施耐德電氣2023年前9個月的收入為285億美元,在全球擁有超過15萬名員工。施耐德電氣預(yù)計將于下個月發(fā)布2023年全年財務(wù)業(yè)績。
其一些知名消費品牌包括Homeline、Square D和APC(廣泛使用的不間斷電源(UPS) 設(shè)備的制造商)。
施耐德電氣2023年曾成為Clop勒索軟件團(tuán)伙大規(guī)模MOVEit數(shù)據(jù)盜竊攻擊的目標(biāo),MOVEit漏洞利用攻擊影響了2,700多家公司。(2023年6月28日,SecurityWeek報道稱,施耐德電氣告訴該媒體,該公司于5月30日意識到MOVEit軟件零日漏洞,并立即部署了緩解措施以保護(hù)數(shù)據(jù)和基礎(chǔ)設(shè)施。隨后,2023年6月26日,施耐德電氣發(fā)布一項聲明,稱其已成為與MOVEit漏洞相關(guān)的網(wǎng)絡(luò)攻擊的受害者。此后的應(yīng)對措施和結(jié)果并沒有對外披露。)
2023年,已先后有施耐德電氣、西門子能源、ABB、Honeywell、江森自控等國際自動化巨頭遭遇勒索軟件攻擊。工業(yè)自動化廠商被攻擊的“余音”可謂繞梁而數(shù)月不絕。
關(guān)于Cactus勒索軟件
Cactus勒索軟件行動于2023年3月啟動,此后已經(jīng)聚集了許多公司,他們聲稱這些公司在網(wǎng)絡(luò)攻擊中遭到破壞。
與所有勒索軟件操作一樣,威脅行為者將通過購買憑據(jù)、與惡意軟件分發(fā)者合作、網(wǎng)絡(luò)釣魚攻擊或利用漏洞來破壞企業(yè)網(wǎng)絡(luò)。
一旦威脅行為者獲得網(wǎng)絡(luò)訪問權(quán)限,他們就會悄悄傳播到其他系統(tǒng),同時竊取服務(wù)器上的公司數(shù)據(jù)。
在竊取數(shù)據(jù)并獲得網(wǎng)絡(luò)管理權(quán)限后,威脅行為者會對文件進(jìn)行加密并留下勒索信息。
然后,威脅行為者將進(jìn)行雙重勒索攻擊,即他們要求贖金以獲得文件解密器并承諾銷毀且不泄露被盜數(shù)據(jù)。
對于那些不支付贖金的公司,威脅行為者將在數(shù)據(jù)泄露網(wǎng)站上泄露他們竊取的數(shù)據(jù)。
目前,Cactus數(shù)據(jù)泄露網(wǎng)站上列出的80多家公司的數(shù)據(jù)已被泄露,或者威脅行為者警告他們將這樣做。
參考資源
1、https://www.bleepingcomputer.com/news/security/energy-giant-schneider-electric-hit-by-cactus-ransomware-attack/
2、https://www.securityweek.com/siemens-energy-schneider-electric-targeted-by-ransomware-group-in-moveit-attack/
來源:網(wǎng)空閑話plus