施耐德電機證實其永續發展部門遭到勒索軟體攻擊 幕後黑手指向仙人掌勒索軟體

該部門因勒索軟體攻擊導致資料外洩及平台中斷

施耐德電機資源顧問平台上的停用消息

1 月 30 日,根據BleepingComputer報道,能源管理和工業自動化巨頭施耐德電氣遭受了 Cactus 勒索軟體攻擊,導致公司資料被盜。據報道攻擊發生於1 月 17日施耐德的永續發展部門,攻擊擾亂了其部分資源顧問雲端平台,該平台至今仍處於中斷的狀態。據報道,勒索軟體在網路攻擊期間竊取了數TB 的公司數據,並正在威脅該公司,如果不支付贖金,就會洩露被盜的數據。雖然尚不清楚被盜的資料類型,但永續發展業務部門為企業組織提供諮詢服務,就再生能源解決方案提供建議,並幫助他們滿足全球公司複雜的氣候監管要求。

該公司在本週的聲明中證實了這一事件,該攻擊影響了其資源諮詢產品(永續發展資訊的數據視覺化工具)以及「部門特定系統」。然而,施耐德表示,公司其他部門並未受到網路攻擊的影響並正在努力恢復受影響的系統,也在網路安全公司的幫助下調查該事件。但一些證據表明駭客已經存取了數據,包括客戶資訊。

報道稱仙人掌勒索軟體組織是此次攻擊的幕後黑手。然而,該組織尚未將施耐德電機列入其基於 Tor 的洩密網站。仙人掌勒索軟體至少自 2023 年 3 月起就一直活躍,截至撰寫本文時,該組織的洩密網站顯示有 86 名的受害者。

Kroll 研究人員報告稱,該勒索軟體因使用加密來保護勒索軟體二進位檔案而突出。

仙人掌勒索軟的TTPs,Photo Credit: Kroll

仙人掌勒索軟體使用 SoftPerfect 網路掃描程式 (netscan) 來尋找網路上的其他目標,並使用 PowerShell 指令來列舉端點。該勒索軟體透過在 Windows 事件檢視器中查看成功登入來識別使用者帳號,它還使用 開源 PSnmap 工具的修改變種。

仙人掌勒索軟體依賴多種合法工具(例如Splashtop、AnyDesk、SuperOps RMM)來實現遠端訪問,並在  後利用活動中使用Cobalt Strike和代理工具Chisel。一旦惡意軟體升級了電腦上的權限,駭客就會使用批次腳本來卸載電腦上安裝的防毒解決方案。

另外,仙人掌使用 Rclone 工具進行資料洩露,並使用名為 TotalExec 的 PowerShell 腳本(BlackBasta勒索軟體過去曾使用過該腳本) 來自動部署加密過程。一月初,仙人掌勒索軟體組織聲稱入侵了瑞典最大連鎖超市Coop。

仙人掌勒索軟體的部分入侵指標(Indicator of compromise -IOCs):

MD5

d9f15227fefb98ba69d98542fbe7e568

3adc612b769a2b1d08b50b1fb5783bcf

be7b13aee7b510b052d023dd936dc32f

26f3a62d205004fbc9c76330c1c71536

d5e5980feb1906d85fbd2a5f2165baf7

78aea93137be5f10e9281dd578a3ba73