Le géant de la gestion de l’énergie et de l’automatisation Schneider Electric a subi une attaque de ransomware Cactus entraînant le vol de données d’entreprise, selon des personnes proches du dossier.

Breachtrace a appris que l’attaque de ransomware avait frappé la division des activités de développement durable de l’entreprise plus tôt ce mois-ci, le 17 janvier.

L’attaque a perturbé certaines plateformes cloud Resource Advisor de Schneider Electric, qui continuent de subir des pannes aujourd’hui.

Le gang de ransomwares aurait volé des téraoctets de données d’entreprise lors de la cyberattaque et extorque maintenant l’entreprise en menaçant de divulguer les données volées si une demande de rançon n’est pas payée.

Bien que l’on ne sache pas quel type de données a été volé, la division des activités de développement durable fournit des services de conseil aux entreprises, des conseils sur les solutions d’énergie renouvelable et les aide à s’y retrouver dans les exigences réglementaires climatiques complexes des entreprises du monde entier.

Message de panne sur la plateforme Schneider Electric Resource Advisor

Les clients de la division Développement durable de Schneider Electric comprennent Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo et Walmart.

Les données volées pourraient contenir des informations sensibles sur la consommation d’énergie des clients, les systèmes de contrôle et d’automatisation industriels et la conformité aux réglementations environnementales et énergétiques.

On ne sait pas si Schneider Electric paiera une demande de rançon, mais si celle-ci n’est pas payée, nous verrons probablement le gang de ransomwares divulguer les données volées comme ils l’ont fait après les attaques précédentes.

Dans une déclaration à Breachtrace, Schneider Electric a confirmé que sa division Développement durable avait subi une cyberattaque et que les données avaient été consultées par les acteurs de la menace. Cependant, la société affirme que l’attaque s’est limitée à cette seule division et n’a pas eu d’impact sur d’autres parties de l’entreprise.

« Du point de vue de la récupération, Sustainability Business effectue des étapes de remédiation pour s’assurer que les plates-formes commerciales seront restaurées dans un environnement sécurisé. Les équipes testent actuellement les capacités opérationnelles des systèmes affectés avec l’espoir que l’accès reprendra dans les deux prochains jours ouvrables.

Du point de vue du confinement, l’activité Développement durable étant une entité autonome exploitant son infrastructure de réseau isolée, aucune autre entité du groupe Schneider Electric n’a été affectée.

Du point de vue de l’analyse d’impact, l’enquête en cours montre que des données ont été consultées. Au fur et à mesure que de plus amples informations seront disponibles, la division Sustainability Business de Schneider Electric poursuivra le dialogue directement avec ses clients concernés et continuera à fournir des informations et une assistance pertinentes.

Du point de vue de l’analyse médico-légale, l’analyse détaillée de l’incident se poursuit avec les principales entreprises de cybersécurité et l’équipe mondiale de réponse aux incidents de Schneider Electric continuant à prendre des mesures supplémentaires en fonction de ses résultats, en collaboration avec les autorités compétentes. »- Schneider Électrique.

Schneider Electric est une multinationale française qui fabrique des produits d’énergie et d’automatisation allant des composants électriques ménagers trouvés dans les magasins à grande surface aux produits de contrôle industriel et d’automatisation des bâtiments au niveau de l’entreprise.

Schneider Electric a réalisé un chiffre d’affaires de 28,5 milliards de dollars pour les neuf premiers mois de 2023 et emploie plus de 150 000 personnes dans le monde. Schneider Electric devrait publier ses résultats financiers annuels 2023 le mois prochain.

Certaines de ses marques grand public bien connues incluent Homeline, Square D et APC, le fabricant de dispositifs d’alimentation sans coupure (UPS) largement utilisés.

Schneider Electric a déjà été la cible des attaques généralisées de vol de données MOVEit par le gang de ransomwares Clop qui ont touché plus de 2 700 entreprises.

Qui est Cactus ransomware
L’opération de ransomware Cactus a été lancée en mars 2023 et a depuis rassemblé de nombreuses entreprises qui, selon elles, ont été piratées lors de cyberattaques.

Comme toutes les opérations de ransomware, les acteurs de la menace vont violer les réseaux d’entreprise par le biais d’informations d’identification achetées, de partenariats avec des distributeurs de logiciels malveillants, d’attaques de phishing ou en exploitant des vulnérabilités.

Une fois que les auteurs de menaces ont accès à un réseau, ils se propagent discrètement à d’autres systèmes tout en volant des données d’entreprise sur des serveurs.

Après avoir volé les données et obtenu des privilèges administratifs sur le réseau, les auteurs de la menace chiffrent les fichiers et laissent des notes de rançon derrière eux.

Exemple de note de rançon Cactus d’une attaque différente

Les acteurs de la menace mèneront ensuite des attaques de double extorsion, c’est-à-dire lorsqu’ils demanderont une rançon pour recevoir à la fois un déchiffreur de fichiers et promettront de détruire et de ne pas divulguer les données volées.

Pour les entreprises qui ne paient pas de rançon, les auteurs de menaces divulgueront leurs données volées sur un site de fuite de données.

À l’heure actuelle, il y a plus de 80 entreprises répertoriées sur le site de fuite de données de Cactus dont les données ont été divulguées ou les acteurs de la menace avertissent qu’ils le feront.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *