Взломан знаменитый поставщик электрооборудования для ЦОДов Schneider Electric. Хакеры требуют выкуп за конфиденциальные данные
Злоумышленники из группировки Cactus утверждают, что увели из консалтингового подразделения Schneider Electric 1,5 терабайт данных. По-видимому, им досталась конфиденциальная информация и других фирм.
25 мегабайт в доказательство
Операторы шифровальщика Cactus утверждают, что им удалось выкрасть 1,5 Тб данных из инфраструктуры энергетической корпорации Schneider Electric.
Группировка выложила 25 Мб (то есть, крошечный фрагмент) украденного на своём сайте в даркнете в доказательство успеха; среди них - скриншоты личных документов нескольких граждан США и сканы соглашений о неразглашении данных.
Атака на Schneider Electric случилась 17 января 2024 г.; операторам группировки удалось получить доступ к ресурсам подразделения компании по устойчивому развитию бизнеса, которая оказывает консалтинговые услуги крупнейшим мировым корпорациям, таким как PepsiCo, Walmart, Lexmark, Hilton, DHL и др. Услуги связаны с использованием возобновляемых источников энергии и вопросами соответствия регуляционным нормам.
А это означает, что в похищенных хакерами данных могут присутствовать сведения о промышленных системах клиентов Schneider Electric и конфиденциальная информация о том, как эти компании соблюдают предписания экологических регуляторов.
Хакеры требуют выкуп, угрожая в противном случае опубликовать все данные.
Новая и гиперактивная группировка
Шифровальная группировка Cactus, как указывает издание Bleeping Computer, является сравнительно новым игроком в сфере киберкриминала: она появилась в 2023 г. Cactus специализируется на двойном вымогательстве, требуя деньги и за расшифровку данных, и за возвращение украденного.
В сети жертв операторы этой группировки проникают разными способами: приобретая похищенные кем-то ещё реквизиты доступа, заключая партнёрские сделки с другими распространителями вредоносного ПО, через фишинговые атаки и через эксплуатацию уязвимостей в ПО и оборудовании атакуемых компаний.
После получения доступа, злоумышленники скрытно перемещаются по сетевым ресурсам, выводя в процессе значимые данные.
На данный момент на сайте злоумышленников перечислены 100 пострадавших компаний, и часть данных, принадлежавших организациям, отказавшимся платить, уже выложены в общий доступ.
«По-видимому, жертвы Cactus не столь охотно платят вымогателям, - и это отвечает общей тенденции», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, в конце января фирма Coveware, специализирующаяся на посредничестве между вымогателями и их жертвами (в интересах последних), отметила, что к концу 2023 г. лишь 29% пострадавших согласились на выплаты, а в 2019 г. таких было 85%, то есть успешность «бизнеса» шифровальщиков снизилась радикально. «В данном случае, однако, проблема в том, что утечь могли данные не только самой Schneider, но и ее клиентов, из которых далеко не все обрадуются, если их конфиденциальная информация окажется общедоступной. Злоумышленники хорошо знали, куда бить, и прогнозировать исход этой истории сейчас сложно», - подытожила Анастасия Мельникова.
Schneider Electric - французская компания, производящая оборудование для энергетических и промышленных организаций, в которой работают более 150 тыс. человек по всему миру. До начала 2022 г. Schneider Electric работала и в России, но в начале июля продала местным топ-менеджерам свои активы в России и Белоруссии. Новая структура получила название Systeme Electric.
В 2023 г. Schneider в числе 2,7 тыс. других организаций подверглась атаке со стороны ещё одной вымогательской банды - Clop.