Gã khổng lồ quản lý năng lượng và tự động hóa Schneider Electric đã phải hứng chịu một cuộc tấn công ransomware Cactus dẫn đến việc đánh cắp dữ liệu của công ty.
BleepingComputer đã biết rằng cuộc tấn công bằng ransomware đã tấn công bộ phận Kinh doanh bền vững (Sustainability Business) của công ty vào ngày 17 tháng 1 vào đầu tháng này.
Cuộc tấn công đã làm gián đoạn một số nền tảng đám mây Resource Advisor của Schneider Electric, hiện vẫn tiếp tục bị ngừng hoạt động.
Nhóm ransomware được cho là đã đánh cắp hàng terabyte dữ liệu của công ty trong cuộc tấn công mạng và hiện đang tống tiền Schneider Electric bằng cách đe dọa rò rỉ dữ liệu bị đánh cắp nếu yêu cầu tiền chuộc không được trả.
Mặc dù không biết loại dữ liệu nào đã bị đánh cắp, bộ phận Kinh doanh bền vững (Sustainability Business) cung cấp dịch vụ tư vấn cho các tổ chức doanh nghiệp, tư vấn về các giải pháp năng lượng tái tạo và giúp họ điều hướng các yêu cầu quản lý khí hậu phức tạp cho các công ty trên toàn thế giới.
Thông báo ngừng hoạt động trên nền tảng Resource Advisor của Schneider Electric
Nguồn: BleepingComputer
Khách hàng của bộ phận Kinh doanh bền vững (Sustainability Business) của Schneider Electric bao gồm Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo và Walmart.
Dữ liệu bị đánh cắp có thể chứa thông tin nhạy cảm về việc sử dụng năng lượng của khách hàng, hệ thống điều khiển và tự động hóa công nghiệp cũng như việc tuân thủ các quy định về môi trường và năng lượng.
Không biết liệu Schneider Electric có trả yêu cầu tiền chuộc hay không, nhưng nếu một khoản không được trả, chúng ta có thể sẽ thấy băng nhóm ransomware rò rỉ dữ liệu bị đánh cắp như chúng đã làm sau các cuộc tấn công trước đó.
Trong một trao đổi với BleepingComputer, Schneider Electric xác nhận rằng bộ phậnKinh doanh bền vững (Sustainability Business) của họ đã bị tấn công mạng và dữ liệu đó đã bị các tác nhân đe dọa truy cập. Tuy nhiên, Schneider Electric cho biết cuộc tấn công chỉ giới hạn ở bộ phận này và không ảnh hưởng đến các bộ phận khác của công ty.
“Từ quan điểm phục hồi, phòng Kinh doanh bền vững (Sustainability Business)đang thực hiện các bước khắc phục để đảm bảo rằng nền tảng kinh doanh sẽ được khôi phục về môi trường an toàn. Đội ngũ của Schneider Electric hiện đang kiểm tra khả năng vận hành của các hệ thống bị ảnh hưởng với kỳ vọng quyền truy cập sẽ tiếp tục trong hai ngày làm việc tới.
Về khía cạnh ngăn chặn cho trường hợp này, vì Phòng Kinh doanh này là một bộ phận tự trị vận hành cơ sở hạ tầng mạng biệt lập nên không có bộ phận nào khác trong tập đoàn Schneider Electric bị ảnh hưởng.
Về khía cạnh đánh giá tác động, cuộc điều tra đang diễn ra cho thấy dữ liệu đã được truy cập. Khi có thêm thông tin, bộ phận Kinh doanh bền vững (Sustainability Business) của Schneider Electric sẽ tiếp tục trao đổi trực tiếp với các khách hàng bị ảnh hưởng và sẽ tiếp tục cung cấp thông tin cũng như hỗ trợ nếu có liên quan.
Về khía cạnh phân tích điều tra, việc phân tích chi tiết về vụ việc vẫn tiếp tục với các công ty an ninh mạng hàng đầu và nhóm Ứng phó sự cố toàn cầu của Schneider Electric tiếp tục thực hiện các hành động bổ sung dựa trên kết quả của vụ việc, hợp tác với các cơ quan liên quan.” – Schneider Electric cho biết.
Schneider Electric là một công ty đa quốc gia của Pháp chuyên sản xuất các sản phẩm năng lượng và tự động hóa, từ các linh kiện điện gia dụng có trong các cửa hàng lớn đến các sản phẩm tự động hóa tòa nhà và điều khiển công nghiệp cấp doanh nghiệp.
Schneider Electric có doanh thu 28,5 tỷ USD trong 9 tháng đầu năm 2023 và tuyển dụng hơn 150.000 người trên toàn thế giới. Schneider Electric dự kiến sẽ công bố kết quả tài chính cả năm 2023 vào tháng tới.
Một số thương hiệu tiêu dùng nổi tiếng Schneider Electric bao gồm Homeline, Square D và APC, nhà sản xuất các thiết bị cung cấp điện liên tục (UPS) được sử dụng rộng rãi.
Schneider Electric trước đây là mục tiêu trong các cuộc tấn công đánh cắp dữ liệu MOVEit trên diện rộng của nhóm ransomware Clop, ảnh hưởng đến hơn 2.700 công ty.
Nhóm Cactus ransomware là ai?
Hoạt động ransomware Cactus hoạt động vào tháng 3 năm 2023 và kể từ đó chún đã thu hút nhiều công ty cho rằng đã bị xâm phạm trong các cuộc tấn công mạng.
Giống như tất cả các hoạt động ransomware, các tác nhân đe dọa sẽ xâm nhập mạng công ty thông qua thông tin đăng nhập đã mua, quan hệ đối tác với các nhà phân phối phần mềm độc hại, tấn công lừa đảo hoặc bằng cách khai thác lỗ hổng.
Sau khi các tác nhân đe dọa có được quyền truy cập vào mạng, chúng sẽ âm thầm lây lan sang các hệ thống khác đồng thời đánh cắp dữ liệu của công ty trên máy chủ.
Sau khi đánh cắp dữ liệu và giành được đặc quyền quản trị trên mạng, kẻ tấn công sẽ mã hóa các tệp và để lại thông báo đòi tiền chuộc.
Ví dụ về thông báo tiền chuộc Cactus từ cuộc tấn công khác nhau
Nguồn: BleepingComputer
Sau đó, các tác nhân đe dọa sẽ tiến hành các cuộc tấn công tống tiền kép, đó là khi chúng yêu cầu một khoản tiền chuộc để nhận cả bộ giải mã tệp và hứa sẽ tiêu hủy và không rò rỉ dữ liệu bị đánh cắp.
Đối với những công ty không trả tiền chuộc, kẻ đe dọa sẽ rò rỉ dữ liệu bị đánh cắp của họ trên một trang web rò rỉ dữ liệu.
Tại thời điểm này, có hơn 80 công ty được liệt kê trên trang web rò rỉ dữ liệu của Cactus có dữ liệu đã bị rò rỉ hoặc các tác nhân đe dọa cảnh báo họ sẽ làm như vậy.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
