BleepingComputer于1月29日?qǐng)?bào)道，據(jù)知情人士透露，能源管理和自動(dòng)化巨頭施耐德電氣遭受了Cactus勒索軟件攻擊，導(dǎo)致公司數(shù)據(jù)被盜。BleepingComputer獲悉，勒索軟件攻擊于本月初的1月17日襲擊了該公司的可持續(xù)發(fā)展業(yè)務(wù)部門(mén)。攻擊擾亂了施耐德電氣的部分資源顧問(wèn)云平臺(tái)，該平臺(tái)至今仍處于中斷狀態(tài)。據(jù)報(bào)道，勒索軟件團(tuán)伙在網(wǎng)絡(luò)攻擊期間竊取了數(shù)TB的公司數(shù)據(jù)，現(xiàn)在威脅該公司，如果不支付贖金，就會(huì)泄露被盜的數(shù)據(jù)。具體的勒索贖金金額也沒(méi)有披露，這很可能是受害者還在與勒索者談判中。雖然尚不清楚被盜的數(shù)據(jù)類(lèi)型，但可持續(xù)發(fā)展業(yè)務(wù)部門(mén)為企業(yè)組織提供咨詢(xún)服務(wù)，就可再生能源解決方案提供建議，并幫助他們滿(mǎn)足全球公司復(fù)雜的氣候監(jiān)管要求。2023年6月底，媒體曾披露該自動(dòng)化巨頭遭到了MOVEit漏洞利用攻擊致數(shù)據(jù)泄露。

施耐德電氣可持續(xù)發(fā)展業(yè)務(wù)部門(mén)的客戶(hù)包括Allegiant Travel Company、Clorox、DHL、DuPont、 Hilton、 Lexmark, PepsiCo和Walmart。被盜數(shù)據(jù)可能包含有關(guān)客戶(hù)用電、工業(yè)控制和自動(dòng)化系統(tǒng)以及環(huán)境和能源法規(guī)合規(guī)性的敏感信息。

目前尚不清楚施耐德電氣是否會(huì)支付贖金，但如果不支付贖金，很可能會(huì)看到勒索軟件團(tuán)伙泄露被盜數(shù)據(jù)，就像他們?cè)谥暗墓糁笏龅哪菢印?/span>

施耐德電氣資源顧問(wèn)平臺(tái)上的中斷消息

施耐德電氣在給 BleepingComputer的一份聲明中證實(shí)，其可持續(xù)發(fā)展業(yè)務(wù)部門(mén)遭受了網(wǎng)絡(luò)攻擊，并且數(shù)據(jù)被威脅行為者訪問(wèn)。不過(guò)，該公司表示，此次攻擊僅限于該部門(mén)，并未影響公司其他部門(mén)。

“從恢復(fù)的角度來(lái)看，可持續(xù)發(fā)展業(yè)務(wù)正在執(zhí)行補(bǔ)救措施，以確保業(yè)務(wù)平臺(tái)恢復(fù)到安全的環(huán)境。團(tuán)隊(duì)目前正在測(cè)試受影響系統(tǒng)的操作能力，預(yù)計(jì)將在接下來(lái)的兩個(gè)工作日內(nèi)恢復(fù)訪問(wèn)。

從遏制的角度來(lái)看，由于可持續(xù)發(fā)展業(yè)務(wù)是一個(gè)自治實(shí)體，運(yùn)營(yíng)其隔離的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，施耐德電氣集團(tuán)內(nèi)沒(méi)有其他實(shí)體受到影響。

從影響評(píng)估的角度來(lái)看，正在進(jìn)行的調(diào)查表明數(shù)據(jù)已被訪問(wèn)。隨著更多信息的出現(xiàn)，施耐德電氣可持續(xù)發(fā)展業(yè)務(wù)部門(mén)將繼續(xù)與受影響的客戶(hù)直接對(duì)話，并繼續(xù)提供相關(guān)信息和幫助。 

 從取證分析的角度來(lái)看，領(lǐng)先的網(wǎng)絡(luò)安全公司和施耐德電氣全球事件響應(yīng)團(tuán)隊(duì)將繼續(xù)對(duì)該事件進(jìn)行詳細(xì)分析，并與相關(guān)當(dāng)局合作，根據(jù)結(jié)果采取進(jìn)一步行動(dòng)?！?/span>

 ----施耐德電氣

施耐德電氣是一家法國(guó)跨國(guó)公司，生產(chǎn)能源和自動(dòng)化產(chǎn)品，范圍從大型商店中的家用電氣元件到企業(yè)級(jí)工業(yè)控制和樓宇自動(dòng)化產(chǎn)品。

施耐德電氣2023年前9個(gè)月的收入為285億美元，在全球擁有超過(guò)15萬(wàn)名員工。施耐德電氣預(yù)計(jì)將于下個(gè)月發(fā)布2023年全年財(cái)務(wù)業(yè)績(jī)。

其一些知名消費(fèi)品牌包括Homeline、Square D和APC(廣泛使用的不間斷電源(UPS) 設(shè)備的制造商)。

施耐德電氣2023年曾成為Clop勒索軟件團(tuán)伙大規(guī)模MOVEit數(shù)據(jù)盜竊攻擊的目標(biāo)，MOVEit漏洞利用攻擊影響了2,700多家公司。(2023年6月28日，SecurityWeek報(bào)道稱(chēng)，施耐德電氣告訴該媒體，該公司于5月30日意識(shí)到MOVEit軟件零日漏洞，并立即部署了緩解措施以保護(hù)數(shù)據(jù)和基礎(chǔ)設(shè)施。隨后，2023年6月26日，施耐德電氣發(fā)布一項(xiàng)聲明，稱(chēng)其已成為與MOVEit漏洞相關(guān)的網(wǎng)絡(luò)攻擊的受害者。此后的應(yīng)對(duì)措施和結(jié)果并沒(méi)有對(duì)外披露。)

2023年，已先后有施耐德電氣、西門(mén)子能源、ABB、Honeywell、江森自控等國(guó)際自動(dòng)化巨頭遭遇勒索軟件攻擊。工業(yè)自動(dòng)化廠商被攻擊的“余音”可謂繞梁而數(shù)月不絕。

關(guān)于Cactus勒索軟件

Cactus勒索軟件行動(dòng)于2023年3月啟動(dòng)，此后已經(jīng)聚集了許多公司，他們聲稱(chēng)這些公司在網(wǎng)絡(luò)攻擊中遭到破壞。

與所有勒索軟件操作一樣，威脅行為者將通過(guò)購(gòu)買(mǎi)憑據(jù)、與惡意軟件分發(fā)者合作、網(wǎng)絡(luò)釣魚(yú)攻擊或利用漏洞來(lái)破壞企業(yè)網(wǎng)絡(luò)。

一旦威脅行為者獲得網(wǎng)絡(luò)訪問(wèn)權(quán)限，他們就會(huì)悄悄傳播到其他系統(tǒng)，同時(shí)竊取服務(wù)器上的公司數(shù)據(jù)。

在竊取數(shù)據(jù)并獲得網(wǎng)絡(luò)管理權(quán)限后，威脅行為者會(huì)對(duì)文件進(jìn)行加密并留下勒索信息。

然后，威脅行為者將進(jìn)行雙重勒索攻擊，即他們要求贖金以獲得文件解密器并承諾銷(xiāo)毀且不泄露被盜數(shù)據(jù)。

對(duì)于那些不支付贖金的公司，威脅行為者將在數(shù)據(jù)泄露網(wǎng)站上泄露他們竊取的數(shù)據(jù)。

目前，Cactus數(shù)據(jù)泄露網(wǎng)站上列出的80多家公司的數(shù)據(jù)已被泄露，或者威脅行為者警告他們將這樣做。

參考資源

1、https://www.bleepingcomputer.com/news/security/energy-giant-schneider-electric-hit-by-cactus-ransomware-attack/

2、https://www.securityweek.com/siemens-energy-schneider-electric-targeted-by-ransomware-group-in-moveit-attack/

來(lái)源：網(wǎng)空閑話plus