Energy giant Schneider Electric hit by Cactus ransomware attack
2024/01/29 BleepingComputer — エネルギー・マネジメント/オートメーションの大手である Schneider Electric で、企業データの盗難につながる Cactus ランサムウェア攻撃が発生した。1月17日の未明に発生した、このランサムウェア攻撃を受けたのは、Schneider の Sustainability Business 部門だということが、BleepingComputer の調査で判明した。この攻撃により、 Schneider Electric のクラウド・プラットフォームである Resource Advisor の一部が停止し、現在も障害が続いているという。
このランサムウェア攻撃を仕掛けたグループは、身代金を支払わなければ、サイバー攻撃中に盗み出した数 TB もの企業データを流出させると、同社を恐喝していると報じられている。
どのような種類のデータが盗まれたのかは不明だ。しかし、Schneider Electric の Sustainability Business 部門は、企業組織にコンサルティング・サービスを提供し、再生可能エネルギー・ソリューションに関するアドバイスや、世界中の複雑な気候規制要件への対応において、企業を支援している部門である。
Source: BleepingComputer
その Sustainability Business 部門の顧客として挙げられるのは、Allegiant Travel Company/Clorox/DHL/ DuPont/Hilton/Lexmark/PepsiCo/Walmart などの大手である。
盗まれたデータに含まれる可能性があるのは、顧客の電力利用/産業用制御および、自動化システム/環境エネルギー規制への準拠などに関する機密情報である。
Schneider Electric が身代金を支払うかどうかは不明だが、支払われない場合には、盗まれたデータが流出することになるだろう。
Schneider Electric は、BleepingComputer に対する声明の中で、 同社の Sustainability Business 部門がサイバー攻撃を受け、脅威アクターによるデータへの不正アクセスが生じたことを認めている。しかし、同社によると、攻撃を受けたのは同部門のみであり、同社の他の部門は影響を受けていないという。
Schneider Electric — 復旧の観点から、Sustainability Business は、ビジネス・プラットフォームが安全な環境に復旧するように、修復作業を進めている。チームは現在、影響を受けたシステムの運用能力をテストしており、今後の2営業日以内にアクセスが再開される見込みだ。
抑制の観点から、Sustainability Business は、孤立したネットワーク・インフラを運用する自律的な事業体であるため、 Schneider Electric グループ内の他の事業体は影響を受けていない。
影響評価の観点からは、現在進行中の調査により、攻撃者がデータに不正アクセスしたことが判明している。より多くの情報が入手可能になるにつれて、 Schneider Electric の Sustainability Business 部門は、影響を受けた顧客と直接対話を続け、関連する情報と支援を提供していく予定だ。
フォレンジック分析の観点からは、インシデントの詳細な分析は、主要なサイバーセキュリティ企業と Schneider Electric の Global Incident Response Team により引き続き行われ、 関係当局と協力しながら、その結果に基づいて追加的なアクションを実施していく。— Schneider Electric
フランスに本社を置く多国籍企業である Schneider Electric は、大型店舗で見かける家庭用電気部品から、企業レベルの産業用制御製品/ビルディング・オートメーション製品に至るまでの、エネルギー/オートメーションの製品を製造している。
Schneider Electric は、世界中で 150,000 人以上の従業員を雇用しており、2023年1〜9月期の売上高は $28.5B だ。 同社は2024年2月に、2023年通期決算を発表する予定だという。
Schneider Electric の有名な消費者向けブランドには、Homeline/Square D/APC などがあり、UPS (Uninterruptable Power Supply) のメーカーとしても広く利用されている。
以前にも同社は、2,700 社以上に影響を与えたランサムウェア・グループ Clop による、広範な MOVEit データ盗難攻撃を受けている。
Cactus ランサムウェアとは
Cactus ランサムウェア・オペレーションは、2023年3月に開始されて以来、数多くの企業にサイバー攻撃を仕掛けている。
Cactus のオペレーターは、他のランサムウェア・オペレーションと同様に、購入した認証情報/マルウェア配布者との提携/フィッシング攻撃/脆弱性などを悪用して、企業ネットワークに侵入する。
標的のネットワークへのアクセスに成功した攻撃者は、サーバ上の企業データを盗みながら、他のシステムに密かに侵入していく。
そして、データを盗み出して、ネットワークの管理者権限を得た後に、ファイルを暗号化して、身代金のメモを残す。
Source: BleepingComputer
その後に、この攻撃者は、二重の恐喝攻撃を行う。つまり、被害者が身代金の要求に応じれば、ファイル復号化装置を受け取るだけではなく、盗まれたデータは廃棄され、漏えいが生じないことを約束するものだ。
企業が身代金を支払わなかった場合には、この攻撃者は、盗んだデータをデータ流出サイトに流出させる。
現時点において、Cactus のデータ流出サイトに掲載されている企業のうち、データが流出した、あるいは流出すると警告している企業は、80 社以上にものぼる。
Schneider で Cactus というランサムウェアの攻撃が発生とのことです。このブログで Cactus を検索したところ、タイトルには現れていませんが、 2023/09/26 の「ShadowSyndicate というハッカー集団:複数のランサムウェアと C2 サーバを巧みに運用」と、2023/12/11 の「CISA KEV 警告 23/12/11:Qlik Sense の脆弱性 CVE-2023-41265/CVE-2023-41266 を追加」に登場していました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.