法国能源巨头施耐德电气遭遇勒索软件攻击

法国工业巨头施耐德电气周一表示，其可持续发展业务部门正在处理勒索软件攻击，该攻击似乎也导致了数据泄露。

该公司表示，该事件仅限于其可持续发展业务部门，该部门被描述为“运营其隔离网络基础设施的自治实体”。

施耐德电气表示，网络攻击影响了目标部门使用的资源顾问和其他系统，但预计业务平台的访问和运营将在两个工作日内恢复。

该攻击于1月17日被发现，目前该公司的调查正在进行中，但一些证据表明黑客已经访问了数据，包括客户信息。

Bleeping Computer报告称 Cactus 勒索软件组织是此次攻击的幕后黑手。然而，该组织尚未将施耐德电气列入其基于 Tor 的泄密网站。

随后，该勒索软件组织就开始对施耐德进行勒索，并威胁称如果不支付赎金，就会泄露窃取的数据。目前，Resource Advisor 云平台处于中断状态。（可持续发展业务部为企业组织提供咨询服务，就可再生能源解决方案提供建议，并帮助全球企业应对复杂的气候监管要求，主要客户包括 Allegiant Travel Company、Clorox、DHL、杜邦、希尔顿、利盟、百事可乐和沃尔玛等世界知名企业。）

Cactus 勒索软件至少自 2023 年 3 月起就一直活跃，截至撰写本文时，该组织的泄密网站显示有 86 名据称受害者。

该勒索软件在 11 月份成为头条新闻，当时安全运营公司 Arctic Wolf 报告称，影响业务分析公司 Qlik 的产品的三个漏洞已被利用进行初始访问。攻击者试图在受感染的系统上部署 Cactus 勒索软件。

高级威胁情报分析师 Stephen Robinson 表示：“施耐德电气尚未确认 Cactus 勒索软件品牌是否对此次攻击负责，而且该勒索软件品牌尚未出现在该组织的泄密网站上，但 Cactus 近几个月来变得越来越活跃。”

“他们是一个多点勒索组织，于 2023 年 3 月首次出现，他们的 TTP 遵循标准勒索软件剧本，利用众所周知的工具和方法。在 2023 年的多次初始攻击中，Cactus 通过易受攻击的 VPN 网关（通常是 Fortinet VPN 实例）访问了受害者网络。”Robinson 补充道。

这并不是施耐德电气第一次成为勒索软件组织的目标。该公司是Cl0p 团伙大规模 MOVEit 攻击活动的众多受害者之一。

Cactus 勒索软件组织详情

Cactus 勒索软件行动于 2023 年 3 月启动，与所有勒索软件行动一样，威胁攻击者会通过购买凭证、与恶意软件分销商合作、网络钓鱼攻击或利用漏洞入侵企业网络。一旦进入网络，就会悄悄扩散到其他系统，同时窃取服务器上的企业数据。在窃取数据并获得网络管理权限后，威胁攻击者会加密文件并留下赎金说明。

不仅如此，这伙威胁攻击者还会进行双重勒索攻击，即要求支付赎金以获得文件解密器，并承诺销毁和不泄漏被盗数据。对于那些不支付赎金的公司，会在数据泄漏网站上泄漏其被盗数据。