Enerji yönetimi ve otomasyon devi Schneider Electric, konu hakkında bilgi sahibi olan kişilere göre, kurumsal verilerin çalınmasına yol açan bir Cactus fidye yazılımı saldırısına maruz kaldı.
BleepingComputer, fidye yazılımı saldırısının bu ayın başlarında 17 Ocak’ta şirketin Sustainability Business bölümünü vurduğunu öğrendi.
Saldırı, Schneider Electric’in Resource Advisor bulut platformunun bir kısmını kesintiye uğrattı ve bugün de kesintiler devam ediyor.
Fidye yazılımı çetesinin siber saldırı sırasında terabaytlarca kurumsal veriyi çaldığı ve şimdi de fidye talebi ödenmediği takdirde çalınan verileri sızdırmakla tehdit ederek şirkete şantaj yaptığı bildirildi.
Ne tür verilerin çalındığı bilinmemekle birlikte, Sustainability Business bölümü, kurumsal kuruluşlara danışmanlık hizmetleri sağlıyor, yenilenebilir enerji çözümleri konusunda tavsiyelerde bulunuyor ve dünya çapındaki şirketler için karmaşık iklim düzenleme gerekliliklerini yönetmelerine yardımcı oluyor.
Schneider Electric’in Sustainability Business bölümünün müşterileri arasında Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo ve Walmart yer alıyor.
Çalınan veriler, müşterilerin güç kullanımı, endüstriyel kontrol ve otomasyon sistemleri ile çevre ve enerji düzenlemelerine uyumluluk hakkında hassas bilgiler içerebilir.
Schneider Electric’in fidye talebini ödeyip ödemeyeceği bilinmiyor, ancak ödenmediği takdirde fidye yazılımı çetesinin daha önceki saldırılardan sonra yaptığı gibi çalınan verileri sızdırdığını görme ihtimalimiz yüksek.
BleepingComputer’a yaptığı açıklamada Schneider Electric, Sustainability Business bölümünün bir siber saldırıya uğradığını ve tehdit aktörleri tarafından verilere erişildiğini doğruladı. Ancak şirket, saldırının bu bölümle sınırlı olduğunu ve şirketin diğer bölümlerini etkilemediğini söyledi.
“Kurtarma açısından bakıldığında, Sustainability Business, iş platformlarının güvenli bir ortama geri yüklenmesini sağlamak için iyileştirme adımları atıyor. Ekipler şu anda etkilenen sistemlerin operasyonel yeteneklerini test ediyor ve erişimin önümüzdeki iki iş günü içinde devam etmesi bekleniyor.
Sınırlama açısından bakıldığında, Sustainability Business birimi izole edilmiş ağ altyapısını işleten özerk bir kuruluş olduğundan, Schneider Electric grubu içindeki başka hiçbir kuruluş etkilenmemiştir.
Etki değerlendirmesi açısından bakıldığında, devam eden soruşturma verilere erişildiğini gösteriyor. Daha fazla bilgi elde edildikçe Schneider Electric’in, Sustainability Business bölümü, etkilenen müşterileriyle doğrudan diyaloğu sürdürecek ve gerektiği şekilde bilgi ve yardım sağlamaya devam edecektir.
Adli analiz açısından bakıldığında, olayın ayrıntılı analizi önde gelen siber güvenlik firmaları ve Schneider Electric Küresel Olay Müdahale ekibinin ilgili makamlarla birlikte çalışarak sonuçlarına göre ek önlemler almaya devam ediyor.” – Schneider Electric
Schneider Electric, büyük mağazalarda bulunan ev tipi elektrik bileşenlerinden kurumsal düzeyde endüstriyel kontrol ve bina otomasyonu ürünlerine kadar çeşitli enerji ve otomasyon ürünleri üreten çok uluslu bir Fransız şirketidir.
Schneider Electric, 2023 yılının ilk dokuz ayında 28,5 milyar dolar gelir elde etti ve dünya çapında 150.000’den fazla kişiye istihdam sağlıyor. Schneider Electric’in 2023 tam yıl mali sonuçlarını önümüzdeki ay açıklaması bekleniyor.
Tanınmış tüketici markalarından bazıları arasında Homeline, Square D ve yaygın olarak kullanılan kesintisiz güç kaynağı (UPS) cihazlarının üreticisi APC bulunmaktadır.
Schneider Electric daha önce Clop fidye yazılımı çetesinin 2.700’den fazla şirketi etkileyen yaygın MOVEit veri hırsızlığı saldırılarının hedefi olmuştu.
Cactus fidye yazılımı kimdir?
Cactus fidye yazılımı operasyonu Mart 2023’te başladı ve o zamandan beri siber saldırılarda ihlal edildiğini iddia ettikleri çok sayıda şirketi bir araya getirdi.
Tüm fidye yazılımı operasyonlarında olduğu gibi, tehdit aktörleri satın alınan kimlik bilgileri, kötü amaçlı yazılım dağıtıcılarıyla ortaklıklar, kimlik avı saldırıları veya güvenlik açıklarından yararlanarak kurumsal ağları ihlal edecektir.
Tehdit aktörleri bir ağa erişim sağladıktan sonra, sunuculardaki kurumsal verileri çalarken sessizce diğer sistemlere yayılırlar.
Verileri çaldıktan ve ağ üzerinde yönetici ayrıcalıkları kazandıktan sonra, tehdit aktörleri dosyaları şifreler ve arkalarında fidye notları bırakır.
Tehdit aktörleri daha sonra, hem dosya şifre çözücüyü almak hem de çalınan verileri yok etme ve sızdırmama sözü vermek için fidye talep ettikleri çifte şantaj saldırıları gerçekleştireceklerdir.
Fidye ödemeyen şirketler için tehdit aktörleri, çalınan verilerini bir veri sızıntısı sitesine sızdıracaktır.
Şu anda, Cactus’un veri sızıntısı sitesinde verileri sızdırılmış ya da tehdit aktörlerinin sızdıracakları konusunda uyardığı 80’den fazla şirket listelenmiştir.
