Schneider Electric, el gigante francés de la gestión de la energía y la automatización, se enfrenta a una nueva crisis cibernética. Este líder mundial en soluciones energéticas, que abarca diversos sectores, desde la vivienda residencial hasta las infraestructuras críticas y la industria, ha vuelto a ser víctima de un ciberataque. Un grupo de ransomware llamado Hellcat se ha atribuido la responsabilidad de haber pirateado el sistema Atlassian Jira de la empresa, obteniendo acceso a datos sensibles. Echemos un vistazo a este ciberataque histórico, que plantea una serie de preguntas sobre la seguridad informática en las grandes empresas.
Antecedentes del incidente
El 4 de noviembre de 2023, Schneider Electric confirmó que había sufrido una intrusión en su sistema interno de seguimiento de proyectos, alojado en un entorno aislado. Los atacantes utilizaron el acceso de administrador para penetrar en la instancia de Jira de Schneider Electric, comprometiendo información crítica como proyectos, problemas técnicos y plugins. El ataque provocó el robo de más de 40 GB de datos comprimidos.
Contactada por Bleeping Computer, Schneider Electric confirmó el ataque:«Schneider Electric está investigando un incidente de ciberseguridad relacionado con el acceso no autorizado a una de nuestras plataformas internas de seguimiento de la ejecución de proyectos que está alojada en un entorno aislado. Nuestro equipo global de respuesta a incidentes se movilizó inmediatamente para responder al incidente – los productos y servicios de Schneider Electric no se han visto afectados.»
La extraña petición de rescate de los hackers
Uno de los elementos más sorprendentes de este ataque es la inusual petición de rescate. Los hackers de Hellcat parecen tener un particular sentido del humor: exigen que Schneider Electric pague el rescate de 125.000 dólares (unos 115.000 euros) en… ¡palillos chinos! Por supuesto, esta inusual petición es una broma, ya que el rescate real se pide en Monero, una criptomoneda que mantiene las transacciones en el anonimato.
Aunque esta petición de rescate en forma de «palillos chinos» parece sorprendente, podría formar parte de una estrategia de visilibidad de este nuevo grupo de ransomware. Hüseyin Can Yuceel, investigador de seguridad de Picus Security, dijo a Forbes que: «El ransomware es un modelo de negocio, y podemos considerar esta extraña demanda de baguettes como un truco de marketing», añadiendo que es probable que el grupo Hellcat, un recién llegado a la competitiva escena criminal del ransomware, esté «tratando de atraer la atención y establecer la confianza de futuras víctimas y asociados para una posible operación de ransomware como servicio«.
Hellcat también dijo que en el caso de que Schneider Electricreconociera públicamente el incidente, estarían dispuestos a reducir el rescate en un 50% si el nuevo CEO de Schneider Electric, Olivier Blum, admite el robo de los datos. «Es tu decisión Olivier», dijo Grep uno de los principales actores de la amenaza. Esta táctica pretende probablemente fomentar una respuesta rápida de la empresa, jugando al mismo tiempo con la dimensión pública de la reputación corporativa. La fecha límite para el pago del rescate es el 7 de noviembre, tras lo cual Hellcat ha prometido revelar los datos robados.
El lunes, Hellcat, antes llamada ICA, también había añadido otras 2 nuevas víctimas a su portal darkweb: el Ministerio de Educación de Jordania y el College of Business Education de Tanzania.
Método de acceso
Los hackers afirmaron haber explotado el acceso root al sistema Jira. Aunque no detallaron cómo obtuvieron este acceso, presumiblemente a través de credenciales mal protegidas, está claro que esto les permitió extraer cantidades masivas de datos. Una vez penetrado el servidor, los hackers utilizaron una API REST de MiniOrange para robar 40 GB de información sensible, que luego segmentaron en archivos de 300 MB cada uno antes de guardarlos en otro lugar.
Impacto en Schneider Electric
El momento de este ataque no podría haber sido peor para Schneider Electric. El incidente coincidió con el nombramiento del nuevo Director General, Olivier Blum, por lo que su primera semana en el cargo fue especialmente tumultuosa.
Según la información disponible, los datos comprometidos incluyen no sólo detalles de proyectos internos, sino también información personal de más de 400.000 líneas de datos de usuarios. Esto representaría, según declaró Grep a BleepingComputer, 75.000 direcciones de correo electrónico y nombres completos únicos de empleados y clientes de Schneider Electric.
Este tipo de ciberataque puede afectar a la confianza de clientes y socios comerciales, además de empañar la imagen de marca de la empresa.
Respuestas e investigaciones de Schneider Electric
Schneider Electric inició inmediatamente una investigación en profundidad para comprender el alcance de la brecha e identificar las vulnerabilidades explotables. La respuesta inicial de la empresa hizo hincapié en el carácter aislado del sistema comprometido y en las medidas adoptadas para contener la amenaza.
Este es el tercer ciberataque que sufre Schneider Electric en 18 meses. Después de ser golpeada por Cl0p en junio de 2023, durante ataques a gran escala que utilizaban una vulnerabilidad en la herramienta de transferencia de archivos MOVEit, la división Sutainability Business fue blanco del ransomware Cactus en enero de 2024.
Las consecuencias de los ataques de ransomware para la industria
Este ataque ilustra una vez más lo vital que es para las empresas de todos los tamaños aplicar estrategias sólidas de ciberseguridad. El robo masivo de datos sensibles daña la relación de confianza entre las empresas y sus partes interesadas, lo que puede tener efectos duraderos en el rendimiento y la reputación.
Integridad de los datos
Mantener la integridad y confidencialidad de los datos se está convirtiendo en una prioridad clave. Las empresas deben invertir en tecnologías de vanguardia para detectar y responder rápidamente a los incidentes. También deben colaborar activamente con las autoridades para combatir eficazmente estas amenazas.
Para limitar los riesgos de estos ataques, se pueden poner en marcha una serie de medidas. En primer lugar, adoptar un planteamiento de «confianza cero», en el que se compruebe estrictamente cada intento de acceso, incluso internamente. En segundo lugar, mantenga todo el software y la infraestructura actualizados, aplique los parches de seguridad con prontitud y forme continuamente a los empleados para que reconozcan las posibles amenazas.
Responsabilidad y transparencia
Dirigiéndose directamente a los consumidores y socios, las empresas deben ser transparentes sobre las medidas adoptadas en respuesta a los ciberataques. Comunicar abiertamente las medidas adoptadas para rectificar las vulnerabilidades y proteger los datos ayuda a recuperar la confianza perdida.
El asunto de Schneider Electric es un recordatorio de lo imperativo que es para las grandes empresas reforzar sus defensas contra las ciberamenazas. Ya sea mejorando la seguridad de las API, aplicando estrictamente las políticas de seguridad o siendo transparentes con el público, todos los aspectos cuentan a la hora de garantizar la resistencia frente a los ataques exponenciales de ransomware.
