Schneider Electric บริษัทชั้นนำด้านพลังงานถูกโจมตีจาก Cactus ransomware โจมตี
Schneider Electric บริษัทชั้นนำด้านพลังงาน และระบบอัตโนมัติ ได้เปิดเผยว่าถูกโจมตีจาก Cactus ransomware และขโมยข้อมูลออกไป
โดย BleepingComputer ได้ข้อมูลการโจมตีจาก Cactus ransomware ซึ่งส่งผลกระทบต่อแผนก Sustainability Business ของบริษัทในวันที่ 17 มกราคม 2024
Schneider Electric เป็นบริษัทผลิตภัณฑ์ด้านพลังงานข้ามชาติจากฝรั่งเศส ตั้งแต่ส่วนประกอบไฟฟ้าในครัวเรือนที่พบในร้านค้าขนาดใหญ่ ไปจนถึงผลิตภัณฑ์ควบคุมอุตสาหกรรม และระบบอัตโนมัติในอาคารระดับองค์กร และเป็นผู้ผลิตอุปกรณ์จ่ายไฟสำรอง (UPS) ได้แก่ Homeline, Square D และ APC ซึ่งมีรายได้กว่า 28.5 พันล้านดอลลาร์ในช่วงเก้าเดือนแรกของปี 2023 และมีพนักงานมากกว่า 150,000 คนทั่วโลก โดยก่อนหน้านี้ได้ตกเป็นเป้าหมายการโจมตีของกลุ่มที่โจมตีช่องโหว่ MOVEit และ Clop ransomware ที่ได้โจมตีองค์กรต่าง ๆ กว่า 2,700 แห่ง
การโจมตีดังกล่าวได้ส่งผลกระทบต่อแพลตฟอร์มคลาวด์ Resource Advisor ของ Schneider Electric ทำให้ระบบไม่สามารถใช้งานได้จนถึงปัจจุบัน รวมถึงมีรายงานว่าระหว่างการโจมตี กลุ่ม Cactus ได้ขโมยข้อมูลภายในองค์กร ขนาดกว่า Terabyte และได้ขู่เรียกค่าไถ่กับทางบริษัท โดยขู่ว่าหากไม่ยอมจ่ายค่าไถ่จะเปิดเผยข้อมูลที่ถูกขโมยมา
แม้ปัจจุบันยังไม่สามารถระบุได้ว่าข้อมูลใดบ้างที่ถูกขโมยออกไป แต่แผนก Sustainability Business เป็นแผนกที่ให้บริการคำปรึกษาแก่องค์กร ให้คำปรึกษาเกี่ยวกับโซลูชันพลังงานหมุนเวียน และช่วยเหลือในการดำเนินการตามข้อกำหนดด้านกฎระเบียบด้านสภาพภูมิอากาศที่ซับซ้อนสำหรับบริษัทต่าง ๆ ทั่วโลก
โดยลูกค้าของแผนก Sustainability Business ได้แก่ Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo และ Walmart โดยคาดการณ์ว่าข้อมูลที่ถูกขโมยอาจมีข้อมูลที่มีความสำคัญเกี่ยวกับการใช้พลังงานของลูกค้า การควบคุมทางอุตสาหกรรม และระบบอัตโนมัติ และการปฏิบัติตามกฎระเบียบด้านสิ่งแวดล้อม และพลังงาน
โดย Schneider Electric แจ้งต่อ BleepingComputer ว่าข้อมูลที่ได้รับผลกระทบจากการโจมตีมีเพียงแค่ข้อมูลจากแผนก Sustainability Business เท่านั้น และไม่ส่งผลกระทบต่อส่วนอื่น ๆ ของบริษัท
กลุ่ม Cactus ransomware
Cactus ransomware ถูกพบครั้งแรกในเดือนมีนาคม 2023 หลังจากนั้นก็มีรายชื่อของบริษัทต่าง ๆ ที่ถูกกลุ่ม Cactus ransomware โจมตีออกมาอย่างต่อเนื่อง โดยการโจมตีจะเริ่มจากเข้าถึงระบบเครือข่ายผ่านข้อมูลประจำตัวที่ซื้อมาจาก Dark Web หรือผู้จำหน่าย malware รวมถึงการโจมตีด้วย phishing และการโจมตีผ่านช่องโหว่
หลังจากที่สามารถเข้าถึงระบบของเป้าหมายได้แล้ว ก็จะทำการแพร่กระจายไปในระบบ และขโมยข้อมูลใน server อย่างแนบเนียน หลังจากนั้นก็จะทำการยกระดับสิทธิ์เป็นผู้ดูและระบบ เพื่อเข้ารหัสไฟล์ และทิ้งจดหมายเรียกค่าไถ่
วิธีการนี้เรียกว่า Double-Extortion attack คือนอกจากจะทิ้งจดหมายเรียกค่าไถ่แล้ว ยังนำข้อมูลที่ขโมยออกมาบางส่วนมาเปิดเผย เพื่อสร้างความกดดันให้แก่เหยื่อว่าหากไม่จ่ายค่าไถ่ จะนำข้อมูลที่ขโมยมาทั้งมาเปิดเผย เพื่อเร่งให้เหยื่อจ่ายค่าไถ่
ในขณะนี้มีบริษัทมากกว่า 80 แห่ง ที่ถูกกลุ่ม Cactus ransomware แจ้งว่าสามารถโจมตี และขโมยข้อมูลออกมาได้
ที่มา : BLEEPINGCOMPUTER
You must be logged in to post a comment.