Спецпроекты

Безопасность Техника

Взломан знаменитый поставщик электрооборудования для ЦОДов Schneider Electric. Хакеры требуют выкуп за конфиденциальные данные

Злоумышленники из группировки Cactus утверждают, что увели из консалтингового подразделения Schneider Electric 1,5 терабайт данных. По-видимому, им досталась конфиденциальная информация и других фирм.

25 мегабайт в доказательство

Операторы шифровальщика Cactus утверждают, что им удалось выкрасть 1,5 Тб данных из инфраструктуры энергетической корпорации Schneider Electric.

Группировка выложила 25 Мб (то есть, крошечный фрагмент) украденного на своём сайте в даркнете в доказательство успеха; среди них - скриншоты личных документов нескольких граждан США и сканы соглашений о неразглашении данных.

Атака на Schneider Electric случилась 17 января 2024 г.; операторам группировки удалось получить доступ к ресурсам подразделения компании по устойчивому развитию бизнеса, которая оказывает консалтинговые услуги крупнейшим мировым корпорациям, таким как PepsiCo, Walmart, Lexmark, Hilton, DHL и др. Услуги связаны с использованием возобновляемых источников энергии и вопросами соответствия регуляционным нормам.

21_02_24_se_700.jpg
Schneider Electric подверглась кибератаке. 1,5 Тб данных могут быть украдены, в том числе, и других компаний

А это означает, что в похищенных хакерами данных могут присутствовать сведения о промышленных системах клиентов Schneider Electric и конфиденциальная информация о том, как эти компании соблюдают предписания экологических регуляторов.

Хакеры требуют выкуп, угрожая в противном случае опубликовать все данные.

Новая и гиперактивная группировка

Шифровальная группировка Cactus, как указывает издание Bleeping Computer, является сравнительно новым игроком в сфере киберкриминала: она появилась в 2023 г. Cactus специализируется на двойном вымогательстве, требуя деньги и за расшифровку данных, и за возвращение украденного.

В сети жертв операторы этой группировки проникают разными способами: приобретая похищенные кем-то ещё реквизиты доступа, заключая партнёрские сделки с другими распространителями вредоносного ПО, через фишинговые атаки и через эксплуатацию уязвимостей в ПО и оборудовании атакуемых компаний.

После получения доступа, злоумышленники скрытно перемещаются по сетевым ресурсам, выводя в процессе значимые данные.

На данный момент на сайте злоумышленников перечислены 100 пострадавших компаний, и часть данных, принадлежавших организациям, отказавшимся платить, уже выложены в общий доступ.

«По-видимому, жертвы Cactus не столь охотно платят вымогателям, - и это отвечает общей тенденции», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, в конце января фирма Coveware, специализирующаяся на посредничестве между вымогателями и их жертвами (в интересах последних), отметила, что к концу 2023 г. лишь 29% пострадавших согласились на выплаты, а в 2019 г. таких было 85%, то есть успешность «бизнеса» шифровальщиков снизилась радикально. «В данном случае, однако, проблема в том, что утечь могли данные не только самой Schneider, но и ее клиентов, из которых далеко не все обрадуются, если их конфиденциальная информация окажется общедоступной. Злоумышленники хорошо знали, куда бить, и прогнозировать исход этой истории сейчас сложно», - подытожила Анастасия Мельникова.

Schneider Electric - французская компания, производящая оборудование для энергетических и промышленных организаций, в которой работают более 150 тыс. человек по всему миру. До начала 2022 г. Schneider Electric работала и в России, но в начале июля продала местным топ-менеджерам свои активы в России и Белоруссии. Новая структура получила название Systeme Electric.

В 2023 г. Schneider в числе 2,7 тыс. других организаций подверглась атаке со стороны ещё одной вымогательской банды - Clop.

Роман Георгиев

Короткая ссылка