A gigante de gestão de energia e automação Schneider Electric sofreu um ataque de ransomware Cactus que resultou no roubo de dados corporativos, de acordo com pessoas familiarizadas com o assunto.
O BleepingComputer descobriu que o ataque de ransomware atingiu a divisão de Negócios Sustentáveis da empresa no início deste mês, em 17 de janeiro.
O ataque afetou parte da plataforma de nuvem Resource Advisor da Schneider Electric, que continua sofrendo interrupções até hoje.
O grupo de ransomware alegadamente roubou terabytes de dados corporativos durante o ciberataque e agora está extorquindo a empresa ameaçando vazar os dados roubados se um resgate não for pago.
Embora não se saiba que tipo de dados foi roubado, a divisão de Negócios Sustentáveis fornece serviços de consultoria a organizações empresariais, aconselhando sobre soluções de energia renovável e ajudando-as a navegar pelas complexas regulamentações climáticas para empresas em todo o mundo.
Os clientes da divisão de Negócios Sustentáveis da Schneider Electric incluem a Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo e Walmart.
Os dados roubados podem conter informações sensíveis sobre o uso de energia dos clientes, sistemas de controle industrial e automação, e conformidade com regulamentações ambientais e energéticas.
Não se sabe se a Schneider Electric pagará um resgate, mas se não pagar, é provável que vejamos o grupo de ransomware vazando os dados roubados, como fizeram após ataques anteriores.
Em comunicado ao BleepingComputer, a Schneider Electric confirmou que sua divisão de Negócios Sustentáveis sofreu um ciberataque e que os atores da ameaça acessaram os dados. No entanto, a empresa afirma que o ataque se limitou a essa única divisão e não afetou outras partes da empresa.
“Do ponto de vista da recuperação, a divisão de Negócios Sustentáveis está tomando medidas de remediação para garantir que as plataformas de negócios sejam restauradas em um ambiente seguro. As equipes estão testando atualmente as capacidades operacionais dos sistemas afetados, com a expectativa de que o acesso seja retomado nos próximos dois dias úteis.Do ponto de vista da contenção, como a divisão de Negócios Sustentáveis é uma entidade autônoma que opera em sua infraestrutura de rede isolada, nenhuma outra entidade dentro do grupo Schneider Electric foi afetada.
Do ponto de vista da avaliação de impacto, a investigação em curso mostra que os dados foram acessados. À medida que mais informações se tornarem disponíveis, a divisão de Negócios Sustentáveis da Schneider Electric continuará o diálogo diretamente com seus clientes afetados e continuará a fornecer informações e assistência conforme necessário.
Do ponto de vista da análise forense, a análise detalhada do incidente continua com as principais empresas de cibersegurança e a equipe de Resposta a Incidentes Globais da Schneider Electric continuará tomando medidas adicionais com base em seus resultados, trabalhando com as autoridades relevantes.” – Schneider Electric.
A Schneider Electric é uma empresa multinacional francesa que fabrica produtos de energia e automação, desde componentes elétricos domésticos encontrados em grandes lojas de departamento até produtos de controle industrial de nível empresarial e automação de edifícios.A Schneider Electric teve uma receita de $28,5 bilhões nos primeiros nove meses de 2023 e emprega mais de 150.000 pessoas em todo o mundo. A Schneider Electric deve divulgar seus resultados financeiros completos de 2023 no próximo mês.
Algumas de suas marcas conhecidas incluem Homeline, Square D e APC, fabricante de dispositivos amplamente utilizados de alimentação ininterrupta (UPS).
A Schneider Electric foi anteriormente alvo nos ataques generalizados de roubo de dados MOVEit pelo grupo de ransomware Clop que afetou mais de 2.700 empresas.
Quem é o ransomware Cactus
A operação de ransomware Cactus foi lançada em março de 2023 e desde então atingiu numerosas empresas que alegam terem sido violadas em ciberataques.
Assim como todas as operações de ransomware, os atores da ameaça violarão redes corporativas por meio de credenciais adquiridas, parcerias com distribuidores de malware, ataques de phishing ou exploração de vulnerabilidades.
Uma vez que os atores da ameaça ganham acesso a uma rede, eles se espalham silenciosamente para outros sistemas enquanto roubam dados corporativos em servidores.
Após roubar os dados e obter privilégios administrativos na rede, os atores da ameaça criptografam os arquivos e deixam notas de resgate.
Os atores da ameaça conduzirão então ataques de dupla extorsão, o que significa que eles exigem um resgate para receber tanto um descriptografador de arquivos quanto a promessa de destruir e não vazar os dados roubados.
Para as empresas que não pagam o resgate, os atores da ameaça vazarão seus dados roubados em um site de vazamento de dados.
Neste momento, existem mais de 80 empresas listadas no site de vazamento de dados do Cactus cujos dados foram vazados ou os atores da ameaça alertam que o farão.
Disponível em: PortuguêsEnglish (Inglês)Español (Espanhol)