Konuyu bilen kaynaklara göre enerji yönetimi ve otomasyon devi Schneider Electric, kurumsal verilerin çalınmasına yol açan bir Cactus fidye yazılımı saldırısına maruz kaldı.
BleepingComputer, fidye yazılımı saldırısının bu ayın başlarında 17 Ocak’ta şirketin Sürdürülebilirlik İş bölümünü vurduğunu öğrendi.
Saldırı, bugün de kesinti yaşamaya devam eden Schneider Electric’in Resource Advisor bulut platformunun bir kısmını aksattı.
Fidye yazılımı çetesinin siber saldırı sırasında terabaytlarca kurumsal veriyi çaldığı ve fidye talebinin ödenmemesi halinde çalınan verileri sızdırmakla tehdit ederek şirkete şantaj yaptığı bildirildi.
Ne tür verilerin çalındığı bilinmemekle birlikte, Sürdürülebilirlik İş bölümü kurumsal kuruluşlara danışmanlık hizmetleri sağlıyor, yenilenebilir enerji çözümleri konusunda tavsiyelerde bulunuyor ve dünya çapındaki şirketler için karmaşık iklim düzenleme gerekliliklerini yönetmelerine yardımcı oluyor.
Kaynak: BleepingComputer
Schneider Electric’in Sürdürülebilirlik İş bölümünün müşterileri arasında Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo ve Walmart yer alıyor.
Çalınan veriler, müşterilerin güç kullanımı, endüstriyel kontrol ve otomasyon sistemleri ile çevre ve enerji düzenlemelerine uyumluluk hakkında hassas bilgiler içerebilir.
Schneider Electric’in fidye talebini ödeyip ödemeyeceği bilinmiyor, ancak ödenmediği takdirde fidye yazılımı çetesinin daha önceki saldırılardan sonra yaptığı gibi çalınan verileri sızdırdığını görme ihtimalimiz yüksek.
BleepingComputer’a yaptığı açıklamada Schneider Electric, Sürdürülebilirlik İş bölümünün bir siber saldırıya uğradığını ve verilere tehdit aktörleri tarafından erişildiğini doğruladı. Ancak şirket, saldırının bu bölümle sınırlı olduğunu ve şirketin diğer bölümlerini etkilemediğini söyledi.
“Kurtarma açısından bakıldığında, Sürdürülebilirlik İş Platformları, iş platformlarının güvenli bir ortama geri yüklenmesini sağlamak için iyileştirme adımları gerçekleştiriyor. Ekipler şu anda erişimin önümüzdeki iki iş günü içinde devam edeceği beklentisiyle etkilenen sistemlerin operasyonel yeteneklerini test ediyor.
Muhafaza açısından bakıldığında, Sürdürülebilirlik İş Birimi izole edilmiş ağ altyapısını işleten özerk bir kuruluş olduğundan, Schneider Electric grubu içindeki başka hiçbir kuruluş etkilenmemiştir.
Etki değerlendirmesi açısından bakıldığında, devam eden soruşturma verilere erişildiğini gösteriyor. Daha fazla bilgi elde edildikçe Schneider Electric’in Sürdürülebilirlik İş bölümü, etkilenen müşterileriyle doğrudan diyaloğu sürdürecek ve gerektiği şekilde bilgi ve yardım sağlamaya devam edecektir.
Adli analiz açısından bakıldığında, olayın ayrıntılı analizi önde gelen siber güvenlik firmaları ve Schneider Electric Küresel Olay Müdahale ekibinin ilgili makamlarla birlikte çalışarak sonuçlarına göre ek önlemler almaya devam etmesiyle devam ediyor.” – Schneider Electric.
Schneider Electric, büyük mağazalarda bulunan ev tipi elektrik bileşenlerinden kurumsal düzeyde endüstriyel kontrol ve bina otomasyonu ürünlerine kadar enerji ve otomasyon ürünleri üreten çok uluslu bir Fransız şirketidir.
Schneider Electric, 2023’ün ilk dokuz ayında 28,5 milyar dolar gelir elde etti ve dünya çapında 150.000’den fazla kişiye istihdam sağlıyor. Schneider Electric’in 2023 tam yıl mali sonuçlarını önümüzdeki ay açıklaması bekleniyor.
Tanınmış tüketici markalarından bazıları arasında Homeline, Square D ve yaygın olarak kullanılan kesintisiz güç kaynağı (UPS) cihazlarının üreticisi APC bulunmaktadır.
Schneider Electric daha önce Clop fidye yazılımı çetesinin 2.700’den fazla şirketi etkileyen yaygın MOVEit veri hırsızlığı saldırılarının hedefi olmuştu.
Bu olayla veya açıklanmayan diğer saldırılarla ilgili herhangi bir bilginiz varsa, 646-961-3731 numaralı telefondan Signal aracılığıyla veya [email protected] adresinden bizimle gizli olarak iletişime geçebilirsiniz.
Cactus fidye yazılımı kimdir?
Cactus fidye yazılımı operasyonu Mart 2023’te başladı ve o zamandan beri siber saldırılarda ihlal edildiğini iddia ettikleri çok sayıda şirketi bir araya getirdi.
Tüm fidye yazılımı operasyonlarında olduğu gibi, tehdit aktörleri de satın alınan kimlik bilgileri, kötü amaçlı yazılım dağıtıcılarıyla ortaklıklar, kimlik avı saldırıları veya güvenlik açıklarından yararlanarak kurumsal ağları ihlal edecek.
Tehdit aktörleri bir ağa erişim sağladıktan sonra sessizce diğer sistemlere yayılırken sunuculardaki kurumsal verileri çalarlar.
Tehdit aktörleri, verileri çaldıktan ve ağ üzerinde yönetici ayrıcalıkları kazandıktan sonra dosyaları şifreliyor ve arkalarında fidye notları bırakıyor.
Kaynak: BleepingComputer
Tehdit aktörleri daha sonra, hem dosya şifre çözücüyü almak hem de çalınan verileri yok etme ve sızdırmama sözü vermek için fidye talep ettikleri çift gasp saldırıları gerçekleştirecek.
Fidye ödemeyen şirketler için tehdit aktörleri, çalınan verilerini bir veri sızıntısı sitesine sızdıracak.
Şu anda Cactus’un veri sızıntısı sitesinde verileri sızdırılan veya tehdit aktörlerinin bunu yapacakları konusunda uyardığı 80’den fazla şirket bulunuyor.