Schneider Electric, ein französischer Industriegigant, wurde gerade von einem groß angelegten Cyberangriff betroffen. Die in der Cyberkriminalität bereits bekannte Ransomware Cactus hatte es auf das Unternehmen abgesehen, das für seine innovativen Energielösungen bekannt ist. Dieser Vorfall wirft zahlreiche Fragen zur Datensicherheit in großen Unternehmen auf.
Schneider Electric: ein unumgänglicher Marktführer in der Energiebranche
Bevor wir in das Herz dieses Cyberangriffs eintauchen, ist es unerlässlich, die Rolle von Schneider Electric im Industriesektor zu verstehen. Mit mehr als 150.000 Mitarbeitern weltweit hat sich das französische Unternehmen auf die Lieferung von elektrischen Geräten und Lösungen auf der Grundlage erneuerbarer Energien spezialisiert. Sein weltweiter Ruf macht es zu einem unumgänglichen Akteur in seinem Bereich.
Der Angriff am 17. Januar 2024: ein schwerer Schlag für Schneider Electric
Der 17. Januar 2024 markiert ein dunkles Datum für Schneider Electric. Seine der nachhaltigen Entwicklung gewidmete Sparte war das Ziel eines Cyberangriffs, der die Cloud-Plattform „Resource Advisor“ lahmlegte. Der Dienst, der für die Beratung von Unternehmen im Bereich erneuerbare Energien unerlässlich ist, war mehrere Tage lang nicht zugänglich und verursachte den Nutzern große Unannehmlichkeiten.
Bestätigung und erweiterte Auswirkungen des Angriffs
Dervon Schneider Electric am 29. Januaroffiziell bestätigte Ransomware-Angriff zielte speziell auf den Geschäftsbereich Sustainability Business ab und störte den Dienst „Resource Advisor“ sowie andere für diesen Geschäftsbereich spezifische Systeme. Schneider Electric reagierte schnell und mobilisierte sein Einsatzteam, um den Vorfall einzudämmen und die bestehenden Sicherheitsmaßnahmen zu verstärken. In einer Pressemitteilung des Unternehmens heißt es: „Aus der Sicht der Folgenabschätzung zeigt die laufende Untersuchung, dass auf Daten zugegriffen wurde. Sobald weitere Informationen verfügbar sind, wird die Abteilung Sustainability Business von Schneider Electric den Dialog direkt mit den betroffenen Kunden fortsetzen und gegebenenfalls weiterhin Informationen und Unterstützung bereitstellen.“ Diese Erklärung unterstreicht die Verpflichtung von Schneider Electric, offen mit seinen betroffenen Kunden zu kommunizieren und weiterhin Unterstützung zu leisten.
Die Strategie der Cyberkriminellen: Doppelte Erpressung und Datendiebstahl.
Die Ransomware Cactus, die erstmals im März 2023 identifiziert wurde, zielte mit einer Strategie der doppelten Erpressung auf Schneider Electric ab, machte die Plattform unbrauchbar und stahl Terabytes an Daten. Zusätzlich zu dieser Taktik demonstrierte Cactus ausgeklügelte Zugriffs- und Angriffstechniken. Laut BleepingComputer, der als erster über den Angriff berichtete, verwendet Cactus legitime Tools wie Splashtop, AnyDesk und SuperOps RMM für den Fernzugriff sowie Cobalt Strike und Chisel für Nachbetriebsaktivitäten. Sobald der Zugriff erfolgt ist, setzt Cactus ein Batch-Skript ein, um gängige Antivirenlösungen zu deinstallieren und so ihre Fähigkeit zu erhöhen, unerkannt zu operieren. Für die Datenexfiltration nutzt Cactus das Tool Rclone und ein PowerShell-Skript namens TotalExec, das zuvor von den Betreibern der BlackBasta-Ransomware verwendet wurde, um den Verschlüsselungsprozess zu automatisieren. Cactus ist auch dafür bekannt, Schwachstellen in den VPNs von Fortinet, einem von Schneider Electric genutzten Dienstleister, auszunutzen, und demonstriert damit die technische Raffinesse der Cyberkriminellen.
Sicherheitsbedenken: Kundendaten sind potenziell gefährdet.
Zusätzlich zu den bestehenden Bedenken ist es wichtig zu beachten, dass die Art der Daten, die bei dem Angriff auf Cactus gestohlen wurden, besonders sensibel sein könnte. Die Abteilung Sustainability Business von Schneider Electric, auf die der Angriff abzielte, bietet Unternehmen Beratungsdienste zu Lösungen für erneuerbare Energien und zur Einhaltung von Klimaschutzvorschriften an. Daher könnten die kompromittierten Daten detaillierte Informationen über den Energieverbrauch der Kunden, industrielle Steuerungs- und Automatisierungssysteme sowie Daten über die Einhaltung von Umwelt- und Energievorschriften umfassen. Diese Möglichkeit führt zu verstärkter Besorgnis über die möglichen Auswirkungen des Angriffs auf die Kunden von Schneider Electric und die Sicherheit kritischer Informationen in der Energiebranche. Zu den Kunden der Nachhaltigkeitssparte von Schneider Electric gehören mehrere große Unternehmen wie Walmart, Lexmark, DHL und PepsiCo.
Andere Opfer von Cactus: ein breiterer Kontext.
Neben Schneider Electric hat Cactus mehrere andere französische Unternehmen ins Visier genommen und damit die Liste seiner Opfer erweitert. Dazu gehörten Odalys Vacances im Bereich der Touristenunterkünfte, Promotrans, das auf Berufsausbildung spezialisiert ist, und Agoravita, ein Unternehmen für digitale Dienstleistungen. Diese Vielfalt an Zielen verdeutlicht die vielseitige Bedrohung, die Cactus in der Landschaft der Cyberkriminalität darstellt. Ihr Ansatz, der den Kauf von Berechtigungsnachweisen, Partnerschaften mit Malware-Verteilern, Phishing-Angriffe und das Ausnutzen von Schwachstellen kombiniert, zeigt, wie raffiniert und anpassungsfähig ihre Angriffsmethoden sind. Die Fähigkeit von Cactus, Unternehmen in so unterschiedlichen Bereichen ins Visier zu nehmen, unterstreicht, wie wichtig es für alle Branchen ist, ihre Cybersicherheitsmaßnahmen angesichts solch vielseitiger und unberechenbarer Gegner zu verstärken.
Die Cactus-Gang: eine wachsende Bedrohung in der Welt der Ransomware.
Die seit März 2023 aktive Cactus-Gang hat sich schnell als ernsthafte Bedrohung in der Welt der Cyberkriminalität etabliert. Mit einer wachsenden Anzahl von Unternehmen als Opfer, darunter Schneider Electric, zeigt Cactus eine bemerkenswerte Fähigkeit, große Organisationen ins Visier zu nehmen und zu kompromittieren. Für eine eingehende Analyse ihrer Methoden und Auswirkungen empfehlen wir Ihnen, unseren ausführlichen Artikel über die Cactus-Bande zu lesen.
Schneider Electric und die Cybersicherheit: ein Kontinuierlicher Kampf.
Es ist nicht das erste Mal, dass Schneider Electric Opfer eines Cyberangriffs wurde. Erst kürzlich hatte die Ransomware-Gang Clop eine Sicherheitslücke in MOVEit Transfer, einem anderen Dienst des Unternehmens, ausgenutzt, was zu einem Datendiebstahl führte. Diese wiederholten Vorfälle verdeutlichen die ständigen Herausforderungen, denen sich große Unternehmen im Bereich der Cybersicherheit stellen müssen.
Wiederherstellungsplan und Sicherheitsmaßnahmen
Als Reaktion auf den Angriff setzte Schneider Electric schnell einen Wiederherstellungsplan um, der darauf abzielte, den Zugriff auf die betroffenen Systeme innerhalb von zwei Arbeitstagen wiederherzustellen. Diese beispielhafte Reaktionsfähigkeit zeugt von dem Engagement des Unternehmens, die Auswirkungen auf seinen Betrieb und seine Kunden so gering wie möglich zu halten. Dieser Vorfall verdeutlicht, dass Unternehmen jeder Größe ihre Sicherheitsmaßnahmen in einer zunehmend vernetzten Welt kontinuierlich ausbauen müssen.
Die Bedeutung einer schnellen und effektiven Reaktion: Dieser neue Cyberangriff unterstreicht die Bedeutung eines effektiven Krisenmanagements angesichts der rasant wachsenden Bedrohung durch Ransomware. Die Fähigkeit, schnell zu reagieren, Wiederherstellungsmaßnahmen umzusetzen und effektiv mit den Beteiligten zu kommunizieren, ist entscheidend, um den Schaden zu verringern und die Wiederaufnahme des normalen Geschäftsbetriebs zu beschleunigen.
