Schneider Electric, der französische Riese im Bereich Energiemanagement und Automatisierung, sieht sich einer neuen Cyber-Krise gegenüber. Der weltweit führende Anbieter von Energielösungen, der eine Reihe von Sektoren abdeckt, die von Wohnhäusern über kritische Infrastrukturen bis hin zur Industrie reichen, ist erneut Opfer eines Cyberangriffs geworden. Eine Ransomware-Gruppe namens Hellcat bekannte sich dazu, das Atlassian Jira-System des Unternehmens gehackt und sich so Zugang zu sensiblen Daten verschafft zu haben. Werfen wir einen Blick auf diesen markanten Cyberangriff, der viele Fragen über die IT-Sicherheit großer Unternehmen aufwirft.
Der Hintergrund des Vorfalls
Am 4. November 2023 bestätigte Schneider Electric, dass in sein internes Projektverfolgungssystem, das in einer isolierten Umgebung gehostet wurde, eingedrungen wurde. Die Angreifer nutzten einen Administratorzugriff, um in die Jira-Instanz von Schneider Electric einzudringen und so kritische Informationen wie Projekte, technische Probleme und Plugins zu kompromittieren. Dieser Angriff führte zum Diebstahl von mehr als 40 GB komprimierter Daten.
Von Bleeping Computer kontaktiert, bestätigte Schneider Electric den Angriff: „Schneider Electric untersucht einen Cybersicherheitsvorfall, der einen unberechtigten Zugriff auf eine unserer internen Plattformen zur Überwachung der Projektausführung beinhaltet, die in einer isolierten Umgebung gehostet wird. Unser globales Team für die Reaktion auf Vorfälle wurde sofort mobilisiert, um auf den Vorfall zu reagieren: Die Produkte und Dienstleistungen von Schneider Electric sind nicht betroffen.“
Die seltsame Lösegeldforderung der Hacker
Eines der überraschendsten Elemente dieses Angriffs ist eine ungewöhnliche Lösegeldforderung. Die Hellcat-Hacker scheinen einen besonderen Sinn für Humor zu haben: Sie verlangen, dass Schneider Electric das Lösegeld in Höhe von 125.000 US-Dollar (ca. 115.000 Euro) in … Stäbchen bezahlt! Natürlich ist diese ungewöhnliche Forderung ein Scherz, denn das echte Lösegeld wird in Monero gefordert, einer Kryptowährung, die die Anonymität der Transaktionen wahrt.
Auch wenn diese Lösegeldforderung in „Stäbchen“ überraschend erscheint, könnte sie Teil einer Strategie sein, mit der diese neue Ransomware-Gruppe ihr Ziel erreichen will. Hüseyin Can Yuceel, Sicherheitsforscher bei Picus Security, erklärte gegenüber Forbes: „Ransomware ist ein Geschäftsmodell, und wir können diese seltsame Forderung nach Stäbchen als Marketingmaßnahme betrachten“. Der Forscher hält es für wahrscheinlich, dass die Gruppe Hellcat, die neu in die umkämpfte kriminelle Ransomware-Szene eingestiegen ist, „versucht, die Aufmerksamkeit und das Vertrauen der zukünftigen Opfer und Partner für eine mögliche Ransomware-as-a-Service-Operation aufzubauen“.
Hellcat erklärte außerdem, dass sieim Falle eines öffentlichen Eingeständnisses des Vorfalls durch Schneider Electric bereit wären , das Lösegeld um 50 % zu reduzieren, wenn der neue CEO von Schneider Electric, Olivier Blum, zugibt, den Datendiebstahl „Es ist Ihre Entscheidung von Olivier„, sagte Grep einer der Hauptakteure der Bedrohung. Diese Taktik zielt wahrscheinlich darauf ab, eine schnelle Reaktion des Unternehmens zu fördern und gleichzeitig mit der öffentlichen Dimension des korporativen Rufs zu spielen. Die Frist für die Zahlung des Lösegelds endet am 7. November, danach hat Hellcat versprochen, die gestohlenen Daten offenzulegen.
Am Montag hatte Hellcat, der zuvor ICA genannt wurde, auch 2 weitere neue Opfer in sein Darkweb-Portal aufgenommen: das jordanische Bildungsministerium und das College of Business Education in Tansania.
Die Methode des Zugriffs
Die Hacker behaupteten, dass sie einen Root-Zugriff auf das System von Jira ausgenutzt hätten. Obwohl sie nicht näher darauf eingingen, wie dieser Zugang erlangt wurde – auf den ersten Blick über schlecht geschützte Anmeldeinformationen -, ist klar, dass sie dadurch massive Datenmengen abgreifen konnten. Nachdem die Hacker in den Server eingedrungen waren, nutzten sie eine MiniOrange REST API, um 40 GB an sensiblen Informationen zu stehlen, die sie dann in Dateien von jeweils 300 MB segmentierten und an einem anderen Ort speicherten.
Die Auswirkungen auf Schneider Electric
Das Timing dieses Angriffs hätte für Schneider Electric nicht schlechter sein können. Der Vorfall fiel mit der Ernennung des neuen CEO, Olivier Blum, zusammen, was seine erste Woche im Amt besonders turbulent machte.
Nach den vorliegenden Informationen umfassten die kompromittierten Daten nicht nur Details zu internen Projekten, sondern auch persönliche Informationen aus über 400.000 Zeilen Benutzerdaten. Dies würde, wie Grep gegenüber BleepingComputer erklärte, 75.000 eindeutige E-Mail-Adressen und vollständige Namen für Mitarbeiter und Kunden von Schneider Electric bedeuten.
Diese Art von Cyberangriff kann das Vertrauen von Kunden und Geschäftspartnern beeinträchtigen und das Markenimage eines Unternehmens schädigen.
Reaktionen und Untersuchungen von Schneider Electric
Schneider Electric leitete sofort eine umfassende Untersuchung ein, um das Ausmaß der Sicherheitslücke zu verstehen und ausnutzbare Schwachstellen zu identifizieren. Die erste Reaktion des Unternehmens betont den isolierten Charakter des kompromittierten Systems und die Maßnahmen, die zur Eindämmung der Bedrohung ergriffen wurden.
Dies ist der dritte Cyberangriff innerhalb von 18 Monaten, dem Schneider Electric zum Opfer gefallen ist. Nachdem die Abteilung „Sutainability Business“ im Juni 2023 von Cl0p betroffen war, als groß angelegte Angriffe eine Schwachstelle im Dateiübertragungstool MOVEit ausnutzten, wurde sie im Januar 2024 von der Ransomware Cactus ins Visier genommen.
Die Folgen von Ransomware-Angriffen für die Branche.
Dieser Angriff zeigt einmal mehr, wie lebenswichtig es für Unternehmen jeder Größe ist, robuste Cybersicherheitsstrategien zu implementieren. Der massive Diebstahl sensibler Daten verschlechtert das Vertrauensverhältnis zwischen Unternehmen und ihren Stakeholdern, was nachhaltige Auswirkungen auf die Leistung und den Ruf haben kann.
Die Integrität von Daten
Die Integrität und Vertraulichkeit von Daten aufrechtzuerhalten wird daher zu einer unumgänglichen Priorität. Unternehmen müssen in modernste Technologien investieren, um Vorfälle schnell zu erkennen und darauf zu reagieren. Sie müssen auch aktiv mit den Behörden zusammenarbeiten, um diese Bedrohungen wirksam zu bekämpfen.
Um das Risiko derartiger Angriffe zu verringern, können mehrere Maßnahmen ergriffen werden. Erstens, einen „Zero Trust“-Ansatz verfolgen, bei dem jeder Zugriffsversuch streng überprüft wird, auch intern. Zweitens, alle Software und Infrastruktur auf dem neuesten Stand halten, Sicherheitspatches schnell einspielen und die Mitarbeiter kontinuierlich darin schulen, potenzielle Bedrohungen zu erkennen.
Rechenschaftspflicht und Transparenz
Da sie sich direkt an Verbraucher und Partner wenden, müssen Unternehmen Transparenz hinsichtlich der Maßnahmen zeigen, die sie nach Cyberangriffen ergreifen. Eine offene Kommunikation über die Schritte, die zur Behebung von Schwachstellen und zum Schutz von Daten unternommen werden, hilft, verlorenes Vertrauen zurückzugewinnen.
Der Fall Schneider Electric erinnert uns daran, wie zwingend notwendig es für große Unternehmen ist, ihre Verteidigung gegen Cyberbedrohungen zu verstärken. Ob durch die Verbesserung der API-Sicherheit, die strikte Durchsetzung von Sicherheitsrichtlinien oder die Transparenz gegenüber der Öffentlichkeit – jeder Aspekt zählt, um die Widerstandsfähigkeit gegenüber exponentiellen Ransomware-Angriffen zu gewährleisten.
