Schneider Electric บริษัทชั้นนำด้านพลังงานถูกโจมตีจาก Cactus ransomware โจมตี

Schneider Electric บริษัทชั้นนำด้านพลังงานถูกโจมตีจาก Cactus ransomware โจมตี

Schneider Electric บริษัทชั้นนำด้านพลังงาน และระบบอัตโนมัติ ได้เปิดเผยว่าถูกโจมตีจาก Cactus ransomware และขโมยข้อมูลออกไป

โดย BleepingComputer ได้ข้อมูลการโจมตีจาก Cactus ransomware ซึ่งส่งผลกระทบต่อแผนก Sustainability Business ของบริษัทในวันที่ 17 มกราคม 2024

Schneider Electric เป็นบริษัทผลิตภัณฑ์ด้านพลังงานข้ามชาติจากฝรั่งเศส ตั้งแต่ส่วนประกอบไฟฟ้าในครัวเรือนที่พบในร้านค้าขนาดใหญ่ ไปจนถึงผลิตภัณฑ์ควบคุมอุตสาหกรรม และระบบอัตโนมัติในอาคารระดับองค์กร และเป็นผู้ผลิตอุปกรณ์จ่ายไฟสำรอง (UPS) ได้แก่ Homeline, Square D และ APC ซึ่งมีรายได้กว่า 28.5 พันล้านดอลลาร์ในช่วงเก้าเดือนแรกของปี 2023 และมีพนักงานมากกว่า 150,000 คนทั่วโลก โดยก่อนหน้านี้ได้ตกเป็นเป้าหมายการโจมตีของกลุ่มที่โจมตีช่องโหว่ MOVEit และ Clop ransomware ที่ได้โจมตีองค์กรต่าง ๆ กว่า 2,700 แห่ง

การโจมตีดังกล่าวได้ส่งผลกระทบต่อแพลตฟอร์มคลาวด์ Resource Advisor ของ Schneider Electric ทำให้ระบบไม่สามารถใช้งานได้จนถึงปัจจุบัน รวมถึงมีรายงานว่าระหว่างการโจมตี กลุ่ม Cactus ได้ขโมยข้อมูลภายในองค์กร ขนาดกว่า Terabyte และได้ขู่เรียกค่าไถ่กับทางบริษัท โดยขู่ว่าหากไม่ยอมจ่ายค่าไถ่จะเปิดเผยข้อมูลที่ถูกขโมยมา

แม้ปัจจุบันยังไม่สามารถระบุได้ว่าข้อมูลใดบ้างที่ถูกขโมยออกไป แต่แผนก Sustainability Business เป็นแผนกที่ให้บริการคำปรึกษาแก่องค์กร ให้คำปรึกษาเกี่ยวกับโซลูชันพลังงานหมุนเวียน และช่วยเหลือในการดำเนินการตามข้อกำหนดด้านกฎระเบียบด้านสภาพภูมิอากาศที่ซับซ้อนสำหรับบริษัทต่าง ๆ ทั่วโลก

โดยลูกค้าของแผนก Sustainability Business ได้แก่ Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo และ Walmart โดยคาดการณ์ว่าข้อมูลที่ถูกขโมยอาจมีข้อมูลที่มีความสำคัญเกี่ยวกับการใช้พลังงานของลูกค้า การควบคุมทางอุตสาหกรรม และระบบอัตโนมัติ และการปฏิบัติตามกฎระเบียบด้านสิ่งแวดล้อม และพลังงาน

โดย Schneider Electric แจ้งต่อ BleepingComputer ว่าข้อมูลที่ได้รับผลกระทบจากการโจมตีมีเพียงแค่ข้อมูลจากแผนก Sustainability Business เท่านั้น และไม่ส่งผลกระทบต่อส่วนอื่น ๆ ของบริษัท

กลุ่ม Cactus ransomware

Cactus ransomware ถูกพบครั้งแรกในเดือนมีนาคม 2023 หลังจากนั้นก็มีรายชื่อของบริษัทต่าง ๆ ที่ถูกกลุ่ม Cactus ransomware โจมตีออกมาอย่างต่อเนื่อง โดยการโจมตีจะเริ่มจากเข้าถึงระบบเครือข่ายผ่านข้อมูลประจำตัวที่ซื้อมาจาก Dark Web หรือผู้จำหน่าย malware รวมถึงการโจมตีด้วย phishing และการโจมตีผ่านช่องโหว่

หลังจากที่สามารถเข้าถึงระบบของเป้าหมายได้แล้ว ก็จะทำการแพร่กระจายไปในระบบ และขโมยข้อมูลใน server อย่างแนบเนียน หลังจากนั้นก็จะทำการยกระดับสิทธิ์เป็นผู้ดูและระบบ เพื่อเข้ารหัสไฟล์ และทิ้งจดหมายเรียกค่าไถ่

วิธีการนี้เรียกว่า Double-Extortion attack คือนอกจากจะทิ้งจดหมายเรียกค่าไถ่แล้ว ยังนำข้อมูลที่ขโมยออกมาบางส่วนมาเปิดเผย เพื่อสร้างความกดดันให้แก่เหยื่อว่าหากไม่จ่ายค่าไถ่ จะนำข้อมูลที่ขโมยมาทั้งมาเปิดเผย เพื่อเร่งให้เหยื่อจ่ายค่าไถ่

ในขณะนี้มีบริษัทมากกว่า 80 แห่ง ที่ถูกกลุ่ม Cactus ransomware แจ้งว่าสามารถโจมตี และขโมยข้อมูลออกมาได้

ที่มา : BLEEPINGCOMPUTER