Schneider Electric răspunde ferm la atacul de ransomware: restabilirea eficientă a serviciilor după o investigație riguroasă
Schneider Electric este o companie multinațională de origine franceză specializată în soluții de energie și automatizare, furnizând o gamă largă de produse și servicii pentru sectorul industrial, inclusiv echipamente electrice, soluții de automatizare, și tehnologii de gestionare a energiei.
Cu peste 150.000 de angajați la nivel mondial, Schneider asistă „40% dintre companiile din Fortune 500” să reducă emisiile și își propune să elimine „800 de milioane de tone de emisii de CO2 până în 2025”.
Conform declarațiilor companiei, incidentul a fost descoperit pe 17 ianuarie și a afectat exclusiv divizia sa de Afaceri pentru Sustenabilitate, ceea ce a dus la oprirea accesului la Resource Advisor și la alte sisteme folosite de această divizie.
Schneider a comunicat că a mobilizat echipa sa de Răspuns la Incidente de Securitate pentru a limita atacul de ransomware și a consolidat măsurile de securitate existente. De asemenea, a contractat o firmă externă de securitate cibernetică pentru a investiga atacul de ransomware și are în plan să ia măsuri suplimentare în funcție de rezultatele anchetei.
O actualizare pe site-ul Schneider a indicat că sistemele de afaceri ale diviziei pentru Sustenabilitate au fost reluate la data de 31 ianuarie 2024, la 14 zile de când incidentul a fost descoperit. În medie, perioada de inactivitate cauzată de un atac de ransomware durează aproximativ 24 de zile.
Schneider confirmă accesul neautorizat la datele clienților în urma atacului de ransomware
Schneider a confirmat că datele au fost accesate în timpul atacului de ransomware și a notificat clienții afectați. Informațiile sustrase ar putea include detalii sensibile despre consumul de energie al clienților, sistemele de control și automatizare industrială, precum și respectarea reglementărilor privind mediul și energia.
Bazându-se pe informațiile disponibile, experții cibernetici suspectează că hackerii au obținut acces la date despre clienți și/sau angajați, inclusiv informații personale identificabile (PII) și copii ale pașapoartelor clienților.
Nu există certitudine în privința deciziei Schneider Electric de a plăti o cerere de răscumpărare. Cu toate acestea, în cazul lipsei unei plăți, există probabilitatea ca datele extrase să fie publicate de către grupul de ransomware, similar cu ce s-a întâmplat în urma altor atacuri anterioare.
Amenințarea persistentă a grupului de ransomware Cactus: impact și metode de atac
Atacul ransomware asupra Schneider Electric a fost atribuit grupului de ransomware Cactus, care a amenințat că va divulga o cantitate considerabilă de date dacă compania nu plătește o răscumpărare nedezvăluită încă.
Potrivit Cactus, aproximativ 1,5 TB de date au fost exfiltrate din sistemele Schneider Electric. Grupul de ransomware a publicat o mică parte din datele exfiltrate, inclusiv copii ale pașapoartelor și acorduri de confidențialitate, și amenință că le va face publice pe toate dacă nu se plătește o răscumpărare.
Începând cu martie 2023, când și-a început activitatea, grupul de ransomware Cactus a afectat cel puțin 88 de companii, inclusiv Groupe Promotrans, Seymours, Marfrig Global Foods, MINEMAN Systems și Maxxd Trailers.
După cum am precizat într-unul din articolele noastre de anul trecut, ransomware-ul Cactus poate cauza daune financiare si perturbari majore pentru organizatii, prin exploatarea vulnerabilităților din echipamentele VPN.
Analiza specialiștilor în cibernetică asupra atacului de ransomware la Schneider Electric și implicațiile tehnologiei operaționale (OT)
Experții cibernetici au subliniat că acesta este cu siguranță un alt exemplu al unei pierderi masive cauzate de ransomware, asemănătoare cu pierderea de 100 de milioane de dolari suferită de MGM toamna trecută.
Cu toate că Schneider Electric nu a furnizat detalii despre sursa breșei de securitate, specialiștii în securitate cibernetică au observat că rețeaua companiei prezenta vulnerabilități raportate public de către CISA în diferite pachete de software aproape în fiecare lună în ultima perioadă.
Anumite dintre aceste vulnerabilități au primit scoruri CVSS de până la 9.8, indicând că sunt susceptibile la exploatare și sunt accesibile cu ușurință.
Furnizorii OT au întârziat în raport cu furnizorii tradiționali de IT în ceea ce privește oferirea suportului software adecvat și a securității. Acest lucru conta mai puțin atunci când astfel de sisteme erau izolate, dar rețelele moderne fac adesea sistemele OT accesibile și, prin urmare, exploatabile, motiv pentru care CISA urmărește și raportează aceste probleme.
Deși nu există informații care să indice dacă Schneider Electric intentionează să plătească o răscumpărare, companiile de multe ori se abțin să-și dezvăluie tactica de negociere sau deciziile referitoare la plățile de răscumpărare, deoarece acest lucru ar putea influența acțiunile viitorilor atacatori.
În acest context, termenul "OT" se referă la "tehnologia operațională", care reprezintă sistemele și echipamentele utilizate pentru a monitoriza și controla procesele fizice și industriale în diferite sectoare, cum ar fi producția, energie, utilități, transport și infrastructură. OT este distinctă de tehnologia informațională (IT), care se ocupă cu gestionarea și prelucrarea informațiilor și datelor digitale. Astfel, sistemele OT includ, de exemplu, controlerele de automatizare industrială, sistemele de supraveghere și control al proceselor, senzorii și alte dispozitive utilizate pentru a monitoriza și controla echipamentele și procesele fizice în mediile industriale și critice.
Combaterea atacurilor cibernetice prin educație și securitate consolidată
Impactul atacului asupra Schneider Electric subliniază gravitatea și necesitatea gestionării eficiente a unui atac cibernetic de tipul ransomware Cactus. În această perspectivă, actualizarea constantă a software-ului VPN și implementarea patch-urilor pentru toate dispozitivele și aplicațiile utilizate în rețea, devin prioritare. Activarea autentificării multi-factor reprezintă o altă măsură esențială pentru întărirea securității rețelei.
O altă componentă fundamentală o reprezintă educația angajaților în domeniul securității cibernetice, încurajând practici precum evitarea accesării linkurilor sau a atașamentelor nesolicitate din e-mailuri.
În acest sens, platforma Sigurantapenet.ro poate oferi expertiză specializată pentru consolidarea conștientizării în domeniul securității IT. Prin intermediul campaniilor noastre de phishing, se facilitează evaluarea și îmbunătățirea abilităților angajaților în identificarea e-mailurilor de tip phishing.