能源巨头施耐德遭 Cactus 勒索软件攻击,导致公司大量数据被盗

安全侠2024-01-31 09:45:06

Bleeping Computer 网站消息,媒体透露能源管理和自动化巨头施耐德电气公司近期遭到 Cactus 勒索软件攻击,导致公司大量数据被盗。



施耐德电气是一家法国跨国公司,主要生产能源和自动化产品,从大卖场的家用电气元件到企业级工业控制和楼宇自动化产品,旗下一些知名的消费品牌包括 Homeline、Square D 和 APC,2023 年前 9 个月的收入为 285 亿美元,全球员工超过 15 万人。


1 月 17 日, Cactus 勒索软件组织袭击了施耐德电气的可持续发展业务部门,破坏了 Resource Advisor 云平台,并窃取了数 TB 的数据信息。


随后,该勒索软件组织就开始对施耐德进行勒索,并威胁称如果不支付赎金,就会泄露窃取的数据。目前,Resource Advisor 云平台处于中断状态。(可持续发展业务部为企业组织提供咨询服务,就可再生能源解决方案提供建议,并帮助全球企业应对复杂的气候监管要求,主要客户包括 Allegiant Travel Company、Clorox、DHL、杜邦、希尔顿、利盟、百事可乐和沃尔玛等世界知名企业。)



施耐德电气 Resource Advisor 平台上的中断信息(来源:Bleeping Computer )


据悉,被盗数据可能包含有关客户电力利用、工业控制和自动化系统以及遵守环境和能源法规的敏感信息。施耐德电气最终是否会支付赎金尚不得而知,但如果不支付赎金,很可能会看到勒索软件团伙泄露被盗数据。


施耐德回复媒体的内容如下:


从恢复的角度来看,可持续发展业务部正在采取补救措施,以确保业务平台恢复到安全的环境中。团队目前正在测试受影响系统的运行能力,预计将在未来两个工作日内恢复访问;
从控制的角度来看,由于可持续发展业务是一个自主实体,运行其独立的网络基础设施,施耐德电气集团内没有其他实体受到影响;
从影响评估的角度来看,正在进行的调查显示数据已被访问,施耐德电气可持续发展业务部将继续与受影响的客户直接对话,并继续提供相关信息和帮助;
从取证分析的角度来看,网络安全公司和施耐德电气全球事件响应团队将继续对勒索软件事件进行详细分析,并根据分析结果与相关部门合作采取更多行动。-


Cactus 勒索软件组织详情 


Cactus 勒索软件行动于 2023 年 3 月启动,与所有勒索软件行动一样,威胁攻击者会通过购买凭证、与恶意软件分销商合作、网络钓鱼攻击或利用漏洞入侵企业网络。一旦进入网络,就会悄悄扩散到其他系统,同时窃取服务器上的企业数据。在窃取数据并获得网络管理权限后,威胁攻击者会加密文件并留下赎金说明。



不同攻击中的 Cactus 勒索信示例(来源:Bleeping Computer )


不仅如此,这伙威胁攻击者还会进行双重勒索攻击,即要求支付赎金以获得文件解密器,并承诺销毁和不泄漏被盗数据。对于那些不支付赎金的公司,会在数据泄漏网站上泄漏其被盗数据。


目前,Cactus 勒索软件数据泄漏网站上已经列出了 80 多家数据已被泄漏或威胁攻击者警告将泄漏数据的公司。


参考文章:

https://www.bleepingcomputer.com/news/security/energy-giant-schneider-electric-hit-by-cactus-ransomware-attack/


软件施耐德
本作品采用《CC 协议》,转载必须注明作者和本文链接
2022年4月13日,美国CISA、DOE、NSA和FBI多个机构发布了一份联合安全公告,披露了一个专门针对工业控制系统的攻击工具。Mandiant公司将其命名为“INCONTROLLER”,Dragos公司将其命名为“PIPEDREAM”,下文中会统一使用“INCONTROLLER”。INCONTROLLER可以降低攻击者对工业知识的依赖,对多个行业的特定工业控制设备进行攻击,截止目前暂未发现任
据外媒报道,施耐德电气(Schneider Electric)近日遭到勒索软件攻击,受攻击的是该公司的可持续发展业务部,期间可能导致数TB的数据被窃取,背后的勒索组织Cactus威胁称不支付赎金就将泄露数据。施耐德已确认了此次攻击,并正在进行补救工作。2023年,施耐德曾是MOVEit漏洞事件受攻击的知名企业之一。
Bleeping Computer 网站消息,媒体透露能源管理和自动化巨头施耐德电气公司近期遭到 Cactus 勒索软件攻击,导致公司大量数据被盗。
6月23日施耐德电气公司近日修复了 U.motion Builder 软件中存在的四个漏洞,包括两个严重的命令执行漏洞。施耐德和ICS-CERT 均发布了安全公告,U.motion Builder 1.3.4 之前的版本均受到影响。
两家大型能源公司已成为MOVEit漏洞的受害者,这是一场持续不断的黑客活动的最新目标,该活动已袭击了越来越多的目标。全球受害者已达129个。
近日,APC的Easy UPS在线监控软件曝出未经身份验证即可执行任意远程代码(RCE)的漏洞,黑客能够接管设备,在最糟糕的情况下,完全禁用其功能。
 虽然我们基本上已经接受了网络安全正在成为一场永无休止的战争的事实,但经常会出现一些特别令人讨厌的攻击,让我们感到震惊。最近的一种此类攻击是针对广泛使用的文件传输软件 MOVEit 的勒索软件攻击。这次勒索软件攻击被认为是今年最大的网络攻击之一,已经影响了英国航空公司、BBC、普华永道、安永、西门子和施耐德电气等数十家主要组织。勒索勒索软件组织 Clop 声称对此次攻击负责,该攻击利用了
因为ModbusDrvSys 程序创建了一块共享内存,里面默认储存串口名。方便多进程之间交互操作,漏洞原因在于这块共享内存没有安全权限,任何进程可以打开,读写,导致的可以替换串口名,从而导致任意文件读写的本地提权漏洞。
2021年将被记住,因为这一年勒索软件团伙将注意力转向关键基础设施,尤其是围绕制造业、能源分配和食品生产的公司作为目标。仅仅是Colonial Pipeline的勒索软件就导致了5500英里的管道关闭,因为人们担心对其IT网络的勒索软件攻击会蔓延到控制分配燃料的管道的操作网络。
不过声明称,这起事件并不影响台积电的业务或客户信息。台积电报告,2022年的合并收入高达758亿美元,净收益约为340亿美元。台积电表示,在擎昊科技报告了这起事件后,自己已对其系统中使用的硬件部件和安全配置进行了一番审查,以确定这起事件的影响范围。IT供应商淡化安全事件擎昊科技表示,它在6月29日发现了其系统遭到入侵。
安全侠
暂无描述