Firma za upravljanje energijom i industrijsku automatizaciju Schneider Electric pretrpjela je proboj podataka nakon Cactus ransomware napada.
Schneider Electric je multinacionalna kompanija specijalizovana za upravljanje energijom, industrijsku automatizaciju i digitalnu transformaciju.
BleepingComputer je prvi prijavio napad koji je 17. januara pogodio odjel održivog poslovanja kompanije. BleepingComputer je kontaktirao Schneider Electric koji je potvrdio proboj podataka.
Napad je izvela ransomware banda Cactus, koja tvrdi da je ukrala terabajte korporativnih podataka iz kompanije.
Napad je uticao na usluge Cloud platforme kompanije Schneider Electric Resource Advisor uzrokujući prekide.
Schneider Electric je rekao da drugi odjeli kompanije nisu pogođeni sajber napadom.
Kompanija radi na obnavljanju pogođenih sistema i istražuje incident uz pomoć vodećih kompanija za sajber sigurnost,
Operacija ransomware-a Cactus aktivna je od marta 2023. godine, uprkos tome što hakeri koriste model dvostruke iznude, njihova lokacija za curenje podataka tek treba biti otkrivena.
Kroll istraživači su izvijestili da se ova vrsta ransomware-a ističe korištenjem enkripcije za zaštitu binarnog softvera ransomware-a.
Cactus ransomware koristi SoftPerfect Network Scanner (netscan) za traženje drugih ciljeva na mreži zajedno sa PowerShell komandama za enumeraciju krajnjih tačaka. Ransomware identifikuje korisničke naloge tako što pregleda uspešne prijave u Windows Event Viewer-u, a takođe koristi modifikovanu varijantu PSnmap alata otvorenog koda.
Cactus ransomware se oslanja na više legitimnih alata (npr. Splashtop, AnyDesk, SuperOps RMM) za postizanje udaljenog pristupa i koristi Cobalt Strike i proxy alat Chisel u aktivnostima nakon eksploatacije.
Nakon što je malver povećao privilegije na mašini, hakeri koriste batch skriptu za deinstaliranje popularnih antivirusnih rješenja instaliranih na kompjuteru.
Cactus koristi alat Rclone za eksfiltraciju podataka i koristi PowerShell skriptu pod nazivom TotalExec, koju su u prošlosti koristili BlackBasta ransomware operateri, za automatizaciju implementacije procesa enkripcije.
Početkom januara, Cactus ransomware grupa tvrdila je da je hakovala Coop, jednog od najvećih maloprodajnih i prehrambenih provajdera u Švedskoj.
Izvor: Security Affairs
