Skip to content
RançongicielContenu

Rançongiciel Cactus contre Schneider Electric Sustainability Business (2024)

Les opérateurs du rançongiciel Cactus ont frappé la division Sustainability Business de Schneider Electric, mettant hors ligne la plateforme de conseil Resource Advisor et exfiltrant environ 1,5 To de données — dont des scans de passeports et des NDA signés de clients tels que Hilton, PepsiCo et Walmart.

Victime
Schneider Electric — division Sustainability Business

Le 17 janvier 2024, le géant industriel français Schneider Electric a divulgué que sa division Sustainability Business — la branche conseil et logiciel qui aide les grandes entreprises à suivre et déclarer leurs émissions et leur consommation de ressources — avait été frappée par le rançongiciel Cactus. Les clients de la division incluent Hilton, PepsiCo et Walmart.

Ce qui s'est passé

Cactus est apparu pour la première fois en mars 2023 et a rapidement grandi pour devenir l'une des opérations Ransomware-as-a-Service les plus prolifiques. Son schéma standard : exploiter des vulnérabilités connues dans les équipements VPN et les déploiements d'analytique métier Qlik Sense, compléter par de l'hameçonnage et des identifiants volés, puis déployer un rançongiciel à double extorsion.

La brèche s'est limitée à la division Sustainability Business et à sa plateforme Resource Advisor ; Schneider Electric a déclaré qu'aucun système de contrôle industriel critique pour la sécurité n'avait été touché. Cette distinction compte : Schneider est l'un des plus grands fabricants mondiaux de matériel d'automatisation industrielle, et une compromission côté OT aurait été d'un ordre de grandeur plus grave.

Cactus a revendiqué avoir exfiltré environ 1,5 To de données d'entreprise et a publié un échantillon de 25 Mo sur son site de fuite qui comprenait des images de passeports de citoyens américains et des scans d'accords de confidentialité. Schneider Electric a rétabli l'accès aux plateformes métier le 31 janvier 2024, deux semaines après l'attaque.

Impact

  • Resource Advisor de la division Sustainability Business hors ligne pendant environ deux semaines.
  • Environ 1,5 To de données d'entreprise revendiqués comme exfiltrés par Cactus.
  • L'échantillon de données comprenait des scans de passeports et des NDA.
  • Aucun système OT / de contrôle industriel publiquement touché.
  • Des clients tels que Hilton, PepsiCo et Walmart ont vu leurs données impliquées.

Pourquoi cela compte

Le ciblage par Cactus d'une division de conseil ESG met en lumière la manière dont les données des branches conseil — registres d'émissions, déclarations de fournisseurs, NDA signés — sont devenues une cible d'extorsion à part entière de haute valeur, distincte des opérations cœur de la maison mère. La séparation nette de Schneider Electric entre IT et OT a permis de cantonner le rayon d'impact à l'IT, ce qui est désormais le résultat minimum qu'un conglomérat industriel devrait planifier.

Chronologie

  1. Les opérateurs du rançongiciel Cactus déclenchent leur charge à l'intérieur de la division Sustainability Business de Schneider Electric, mettant hors ligne la plateforme Resource Advisor et des systèmes spécifiques à la division.

  2. Cactus publie un échantillon sur son site de fuite : 25 Mo de matériel dérobé, incluant des images de passeports de citoyens américains et des scans de documents NDA.

  3. Schneider Electric rétablit l'accès aux plateformes métier de la division Sustainability Business.

  4. Cactus revendique l'exfiltration d'environ 1,5 To de données d'entreprise de la division. Schneider Electric confirme que des données ont été accédées ; aucun système critique pour la sécurité ou de contrôle industriel n'est touché.

Sources

  1. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/energy-giant-schneider-electric-hit-by-cactus-ransomware-attack/
  2. itpro.comhttps://www.itpro.com/security/ransomware/schneider-electric-confirms-data-was-stolen-in-cactus-ransomware-attack
  3. darkreading.comhttps://www.darkreading.com/ics-ot-security/cactus-ransomware-schneider-electric-sustainability-division
  4. infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/schneider-electric-data-ransomware/
  5. industrialcyber.cohttps://industrialcyber.co/threat-landscape/schneider-electric-faces-ransomware-attack-in-sustainability-business-cactus-group-involved/

Incidents liés

RançongicielContenu

Fuite chez Atos

Le 28 décembre 2024, le groupe de rançongiciels Space Bears a affirmé avoir compromis une base de données d'Atos ; après enquête, le géant français de l'informatique a conclu que ses propres systèmes n'avaient pas été touchés, attribuant les données concernées à une infrastructure tierce externe compromise.

Victim
Atos
RançongicielEn cours

Fuite chez Arsoé

Une attaque par rançongiciel révélée fin décembre 2024 a paralysé l'Arsoé de Soual, prestataire informatique agricole hébergeant les logiciels d'élevage de ~30 000 éleveurs dans une vingtaine de départements français ; les systèmes ont été chiffrés et une rançon exigée, sans exfiltration de données détectée.

Victim
Arsoé
RançongicielContenu

Attaque RansomHub contre Halliburton (2024)

RansomHub a obtenu l'accès aux systèmes de Halliburton, conduisant le géant des services pétroliers à mettre des infrastructures hors ligne. L'incident a retardé la facturation et les bons de commande, et Halliburton a comptabilisé une perte de 35 millions de dollars dans ses dépôts SEC.

Victim
Halliburton
Loss
$35.0M
RançongicielRançon payée

Rançongiciel BlackSuit contre CDK Global (2024)

Les opérateurs de BlackSuit ont chiffré la plateforme de gestion des concessionnaires de CDK Global, mettant hors ligne environ 15 000 concessionnaires automobiles nord-américains pendant près de deux semaines. Une seconde attaque a frappé dès le deuxième jour de la reprise. Les pertes pour le secteur sont estimées à plus d'un milliard de dollars ; CDK aurait versé une rançon de 25 millions de dollars.

Victim
CDK Global
Loss
$1.00B