Rançongiciel Cactus contre Schneider Electric Sustainability Business (2024)

Les opérateurs du rançongiciel Cactus ont frappé la division Sustainability Business de Schneider Electric, mettant hors ligne la plateforme de conseil Resource Advisor et exfiltrant environ 1,5 To de données — dont des scans de passeports et des NDA signés de clients tels que Hilton, PepsiCo et Walmart.

Le 17 janvier 2024, le géant industriel français Schneider Electric a divulgué que sa division Sustainability Business — la branche conseil et logiciel qui aide les grandes entreprises à suivre et déclarer leurs émissions et leur consommation de ressources — avait été frappée par le rançongiciel Cactus. Les clients de la division incluent Hilton, PepsiCo et Walmart.

Ce qui s'est passé

Cactus est apparu pour la première fois en mars 2023 et a rapidement grandi pour devenir l'une des opérations Ransomware-as-a-Service les plus prolifiques. Son schéma standard : exploiter des vulnérabilités connues dans les équipements VPN et les déploiements d'analytique métier Qlik Sense, compléter par de l'hameçonnage et des identifiants volés, puis déployer un rançongiciel à double extorsion.

La brèche s'est limitée à la division Sustainability Business et à sa plateforme Resource Advisor ; Schneider Electric a déclaré qu'aucun système de contrôle industriel critique pour la sécurité n'avait été touché. Cette distinction compte : Schneider est l'un des plus grands fabricants mondiaux de matériel d'automatisation industrielle, et une compromission côté OT aurait été d'un ordre de grandeur plus grave.

Cactus a revendiqué avoir exfiltré environ 1,5 To de données d'entreprise et a publié un échantillon de 25 Mo sur son site de fuite qui comprenait des images de passeports de citoyens américains et des scans d'accords de confidentialité. Schneider Electric a rétabli l'accès aux plateformes métier le 31 janvier 2024, deux semaines après l'attaque.

Impact

Resource Advisor de la division Sustainability Business hors ligne pendant environ deux semaines.
Environ 1,5 To de données d'entreprise revendiqués comme exfiltrés par Cactus.
L'échantillon de données comprenait des scans de passeports et des NDA.
Aucun système OT / de contrôle industriel publiquement touché.
Des clients tels que Hilton, PepsiCo et Walmart ont vu leurs données impliquées.

Pourquoi cela compte

Le ciblage par Cactus d'une division de conseil ESG met en lumière la manière dont les données des branches conseil — registres d'émissions, déclarations de fournisseurs, NDA signés — sont devenues une cible d'extorsion à part entière de haute valeur, distincte des opérations cœur de la maison mère. La séparation nette de Schneider Electric entre IT et OT a permis de cantonner le rayon d'impact à l'IT, ce qui est désormais le résultat minimum qu'un conglomérat industriel devrait planifier.

Chronologie

17 janvier 2024

Les opérateurs du rançongiciel Cactus déclenchent leur charge à l'intérieur de la division Sustainability Business de Schneider Electric, mettant hors ligne la plateforme Resource Advisor et des systèmes spécifiques à la division.

29 janvier 2024

Cactus publie un échantillon sur son site de fuite : 25 Mo de matériel dérobé, incluant des images de passeports de citoyens américains et des scans de documents NDA.

31 janvier 2024

Schneider Electric rétablit l'accès aux plateformes métier de la division Sustainability Business.

1 février 2024

Cactus revendique l'exfiltration d'environ 1,5 To de données d'entreprise de la division. Schneider Electric confirme que des données ont été accédées ; aucun système critique pour la sécurité ou de contrôle industriel n'est touché.

Sources

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/energy-giant-schneider-electric-hit-by-cactus-ransomware-attack/

itpro.comhttps://www.itpro.com/security/ransomware/schneider-electric-confirms-data-was-stolen-in-cactus-ransomware-attack

darkreading.comhttps://www.darkreading.com/ics-ot-security/cactus-ransomware-schneider-electric-sustainability-division

infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/schneider-electric-data-ransomware/

industrialcyber.cohttps://industrialcyber.co/threat-landscape/schneider-electric-faces-ransomware-attack-in-sustainability-business-cactus-group-involved/

Incidents liés

RançongicielContenu21 août 2024

Attaque RansomHub contre Halliburton (2024)

RansomHub a obtenu l'accès aux systèmes de Halliburton, conduisant le géant des services pétroliers à mettre des infrastructures hors ligne. L'incident a retardé la facturation et les bons de commande, et Halliburton a comptabilisé une perte de 35 millions de dollars dans ses dépôts SEC.

Victim: Halliburton
Loss: $35.0M

RançongicielRançon payée18 juin 2024

Rançongiciel BlackSuit contre CDK Global (2024)

Les opérateurs de BlackSuit ont chiffré la plateforme de gestion des concessionnaires de CDK Global, mettant hors ligne environ 15 000 concessionnaires automobiles nord-américains pendant près de deux semaines. Une seconde attaque a frappé dès le deuxième jour de la reprise. Les pertes pour le secteur sont estimées à plus d'un milliard de dollars ; CDK aurait versé une rançon de 25 millions de dollars.

Victim: CDK Global
Loss: $1.00B

RançongicielContenu13 mai 2026

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim: Foxconn (Hon Hai Precision Industry)

RançongicielInconnu21 avril 2026

Engie : une cyberattaque revendiquée par un groupe ransomware

Le groupe de hackers Coinbasecartel affirme avoir mené une cyberattaque contre Engie, géant français de l’énergie présent dans l’électricité, le gaz et

Victim: Engie