Schneider Electric, el gigante industrial francés, acaba de sufrir un importante ataque informático. El ransomware Cactus, ya conocido en los círculos de la ciberdelincuencia, se dirigió contra esta empresa, famosa por sus innovadoras soluciones energéticas. Este incidente plantea muchos interrogantes sobre la seguridad de los datos en las grandes empresas.
Schneider Electric: un líder clave en la industria energética
Antes de adentrarnos en el meollo de este ciberataque, es esencial comprender el papel de Schneider Electric en el sector industrial. Con más de 150.000 empleados en todo el mundo, esta empresa francesa está especializada en el suministro de equipos eléctricos y soluciones de energías renovables. Su reputación mundial la convierte en un actor clave en su campo.
El atentado del 17 de enero de 2024: un duro golpe para Schneider Electric
El 17 de enero de 2024 fue un día negro para Schneider Electric. Su rama de desarrollo sostenible fue objeto de un ciberataque que paralizó la plataforma en la nube «Resource Advisor». Este servicio, esencial para asesorar a las empresas en materia de energías renovables, permaneció inaccesible durante varios días, causando importantes molestias a los usuarios.
Confirmación e impacto más amplio del ataque
Confirmado oficialmente por Schneider Electric el 29 de enero, el ataque de ransomware se dirigió específicamente a la división Sustainability Business, interrumpiendo el servicio Resource Advisor, así como otros sistemas específicos de esta división. Schneider Electric reaccionó rápidamente, movilizando a su equipo de respuesta para contener el incidente y reforzar las medidas de seguridad existentes. Según un comunicado de prensa de la empresa,«desde el punto de vista de la evaluación del impacto, la investigación en curso muestra que se accedió a los datos. A medida que se disponga de información adicional, la División de Negocio de Sostenibilidad de Schneider Electric continuará comprometiéndose directamente con sus clientes afectados y seguirá proporcionando información y asistencia según proceda.» Esta declaración subraya el compromiso de Schneider Electric de mantener una comunicación abierta con los clientes afectados y de proporcionarles apoyo continuo.
La estrategia de los ciberdelincuentes: doble extorsión y robo de datos
El ransomware Cactus, identificado por primera vez en marzo de 2023, atacó a Schneider Electric con una doble estrategia de extorsión, inutilizando la plataforma y robando terabytes de datos. Además de esta táctica, Cactus demostró sofisticadas técnicas de acceso y ataque. Según BleepingComputer, que informó por primera vez del ataque, Cactus utiliza herramientas legítimas como Splashtop, AnyDesk y SuperOps RMM para el acceso remoto, así como Cobalt Strike y Chisel para las actividades posteriores a la explotación. Una vez obtenido el acceso, Cactus despliega un script por lotes para desinstalar soluciones antivirus populares, lo que aumenta su capacidad para operar sin ser detectado. Para la exfiltración de datos, Cactus utiliza la herramienta Rclone y un script de PowerShell llamado TotalExec, utilizado anteriormente por los operadores del ransomware BlackBasta, para automatizar el proceso de cifrado. También se sabe que Cactus explota vulnerabilidades en las VPN de Fortinet, un proveedor de servicios utilizado por Schneider Electric, lo que demuestra la sofisticación técnica de los ciberdelincuentes.
Problemas de seguridad: datos de clientes potencialmente comprometidos
Además de las preocupaciones existentes, es importante señalar que la naturaleza de los datos robados en el ataque de Cactus podría ser especialmente sensible. La división Sustainability Business de Schneider Electric, que fue objeto del ataque, ofrece servicios de consultoría a empresas sobre soluciones de energías renovables y cumplimiento de la normativa climática. En consecuencia, los datos comprometidos podrían incluir información detallada sobre el consumo de energía de los clientes, los sistemas de automatización y control industrial, así como datos sobre el cumplimiento de la normativa medioambiental y energética. Esta posibilidad aumenta la preocupación sobre el impacto potencial del ataque en los clientes de Schneider Electric y la seguridad de la información crítica en el sector energético. Entre los clientes de desarrollo sostenible de Schneider Electric figuran varias grandes empresas como Walmart, Lexmark, DHL y PepsiCo.
Otras víctimas de Cactus: un contexto más amplio
Además de Schneider Electric, Cactus ha atacado a otras empresas francesas, engrosando su lista de víctimas. Entre ellas figuran Odalys Vacances, del sector del alojamiento turístico, Promotrans, especializada en formación profesional, y Agoravita, empresa de servicios digitales. Esta diversidad de objetivos ilustra la amenaza polifacética que representa Cactus en el panorama de la ciberdelincuencia. Su enfoque, que combina la compra de credenciales, asociaciones con distribuidores de malware, ataques de phishing y la explotación de vulnerabilidades, demuestra la sofisticación y adaptabilidad de sus métodos de ataque. La capacidad de Cactus para atacar a empresas de sectores tan diversos subraya la importancia de que todas las industrias refuercen sus medidas de ciberseguridad frente a adversarios tan versátiles e impredecibles.
La banda Cactus: una amenaza creciente en el mundo del ransomware
La banda Cactus, activa desde marzo de 2023, se ha establecido rápidamente como una seria amenaza en el mundo de la ciberdelincuencia. Con un número creciente de víctimas corporativas, entre ellas Schneider Electric, Cactus está demostrando una notable capacidad para atacar y comprometer organizaciones a gran escala. Para un análisis en profundidad de sus métodos e impacto, le invitamos a leer nuestro detallado artículo sobre la banda Cactus.
Schneider Electric y la ciberseguridad: una batalla constante
No es la primera vez que Schneider Electric es víctima de un ciberataque. Recientemente, la banda de ransomware Clop explotó un fallo de seguridad en MOVEit Transfer, otro de los servicios de la empresa, lo que provocó el robo de datos. Estos repetidos incidentes ponen de manifiesto los continuos retos de ciberseguridad a los que se enfrentan las grandes empresas.
Plan de restauración y medidas de seguridad
En respuesta al ataque, Schneider Electric puso en marcha rápidamente un plan de recuperación, con el objetivo de restablecer el acceso a los sistemas afectados en un plazo de dos días laborables. Esta capacidad de respuesta ejemplar demuestra el compromiso de la empresa para minimizar el impacto en sus operaciones y clientes. Este incidente pone de manifiesto la necesidad de que las empresas de todos los tamaños refuercen continuamente sus medidas de seguridad en un mundo cada vez más conectado.
La importancia de una respuesta rápida y eficaz: este último ciberataque pone de relieve la importancia de una gestión eficaz de las crisis ante la creciente amenaza del ransomware. La capacidad de responder con rapidez, aplicar medidas de recuperación y comunicarse eficazmente con las partes interesadas es esencial para reducir los daños y acelerar la vuelta a la normalidad.
