El gigante de automatización y gestión de energía Schneider Electric sufrió un ataque de ransomware Cactus que provocó el robo de datos corporativos, según personas familiarizadas con el asunto.
BleepingComputer se enteró de que el ataque de ransomware afectó a la división de Negocios de Sostenibilidad de la compañía a principios de este mes, el 17 de enero.
El ataque interrumpió parte de la plataforma en la nube Resource Advisor de Schneider Electric, que continúa sufriendo interrupciones en la actualidad.
Según se informa, la banda de ransomware robó terabytes de datos corporativos durante el ciberataque y ahora está extorsionando a la empresa amenazando con filtrar los datos robados si no se paga la demanda de rescate.
Si bien no se sabe qué tipo de datos fueron robados, la división Sustainability Business brinda servicios de consultoría a organizaciones empresariales, asesorándolas sobre soluciones de energía renovable y ayudándolas a navegar los complejos requisitos regulatorios climáticos para empresas de todo el mundo.
Los clientes de la división Sustainability Business de Schneider Electric incluyen Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo y Walmart.
Los datos robados podrían contener información confidencial sobre el uso de energía de los clientes, los sistemas de automatización y control industrial y el cumplimiento de las regulaciones ambientales y energéticas.
No se sabe si Schneider Electric pagará una demanda de rescate, pero si no se paga, probablemente veremos a la banda de ransomware filtrar los datos robados como lo han hecho después de ataques anteriores.
En una declaración a BleepingComputer, Schneider Electric confirmó que su división Sustainability Business sufrió un ciberataque y que los actores de la amenaza accedieron a los datos. Sin embargo, la empresa dice que el ataque se limitó a esta división y no afectó a otras partes de la empresa.
“Desde el punto de vista de la recuperación, Sustainability Business está tomando medidas correctivas para garantizar que las plataformas comerciales se restablezcan en un entorno seguro. Actualmente, los equipos están probando las capacidades operativas de los sistemas afectados con la expectativa de que el acceso se reanude en los próximos dos días hábiles.
Desde el punto de vista de la contención, como Sustainability Business es una entidad autónoma que opera su infraestructura de red aislada, ninguna otra entidad dentro del grupo Schneider Electric se ha visto afectada.
Desde el punto de vista de la evaluación de impacto, la investigación en curso muestra que se ha accedido a los datos. A medida que haya más información disponible, la división de Negocios de Sostenibilidad de Schneider Electric continuará el diálogo directamente con sus clientes afectados y continuará brindando información y asistencia según sea relevante.
Desde el punto de vista del análisis forense, el análisis detallado del incidente continúa con las principales empresas de ciberseguridad y el equipo de Respuesta Global a Incidentes de Schneider Electric continúa tomando acciones adicionales basadas en sus resultados, trabajando con las autoridades pertinentes”. – Schneider Electric.
Schneider Electric es una empresa multinacional francesa que fabrica productos de energía y automatización que van desde componentes eléctricos domésticos que se encuentran en las grandes tiendas hasta productos de automatización de edificios y control industrial a nivel empresarial.
Schneider Electric obtuvo 28.500 millones de dólares de ingresos durante los primeros nueve meses de 2023 y emplea a más de 150.000 personas en todo el mundo. Se espera que Schneider Electric publique sus resultados financieros para todo el año 2023 el próximo mes.
Algunas de sus marcas de consumo más conocidas incluyen Homeline, Square D y APC, el fabricante de dispositivos de suministro de energía ininterrumpida (UPS) ampliamente utilizados.
Schneider Electric fue anteriormente objetivo de los ataques generalizados de robo de datos MOVEit por parte de la banda de ransomware Clop que afectaron a más de 2.700 empresas .
Si tiene alguna información sobre este incidente o cualquier otro ataque no divulgado, puede comunicarse con nosotros de manera confidencial a través de Signal al 646-961-3731 o en [email protected].
¿Que es el ransomware Cactus?
La operación de ransomware Cactus se lanzó en marzo de 2023 y desde entonces ha acumulado numerosas empresas que, según afirman, sufrieron ataques cibernéticos.
Como todas las operaciones de ransomware, los actores de amenazas violarán las redes corporativas mediante la compra de credenciales, asociaciones con distribuidores de malware, ataques de phishing o explotando vulnerabilidades .
Una vez que los actores de amenazas obtienen acceso a una red, se propagan silenciosamente a otros sistemas mientras roban datos corporativos en los servidores.
Después de robar los datos y obtener privilegios administrativos en la red, los actores de amenazas cifran archivos y dejan notas de rescate.
Luego, los actores de amenazas realizarán ataques de doble extorsión, que es cuando exigen un rescate para recibir un descifrador de archivos y prometen destruir y no filtrar datos robados.
Para aquellas empresas que no pagan un rescate, los actores de amenazas filtrarán sus datos robados en un sitio de fuga de datos.
En este momento, hay más de 80 empresas que figuran en el sitio de filtración de datos de Cactus cuyos datos se han filtrado o los actores de amenazas advierten que lo harán.
Fuente: bleepingcomputer.com