Cyberattaque majeure chez Schneider Electric : le ransomware Cactus frappe de nouveau

Schneider Electric, géant industriel français, vient de subir une attaque informatique d’envergure. Le ransomware Cactus, déjà connu dans le milieu de la cybercriminalité, a ciblé cette entreprise réputée pour ses solutions énergétiques innovantes. Cet incident soulève de nombreuses questions sur la sécurité des données dans les grandes entreprises.

Schneider Electric : un leader incontournable de l’industrie énergétique

Avant de plonger au cœur de cette cyberattaque, il est essentiel de comprendre le rôle de Schneider Electric dans le secteur industriel. Avec plus de 150 000 employés à travers le monde, cette entreprise française se spécialise dans la fourniture de matériel électrique et de solutions basées sur les énergies renouvelables. Sa réputation mondiale en fait un acteur incontournable dans son domaine.

L’attaque du 17 Janvier 2024 : un coup dur pour Schneider Electric

Le 17 janvier 2024 marque une date sombre pour Schneider Electric. Sa branche dédiée au développement durable a été la cible d’une cyberattaque, paralysant la plateforme Cloud « Resource Advisor ». Ce service, essentiel pour conseiller les entreprises en matière d’énergies renouvelables, est resté inaccessible pendant plusieurs jours, causant un désagrément majeur pour les utilisateurs.

Capture d'écran de la plateforme Resource Advisor de Schneider Electric
Capture d’écran de la plateforme Resource Advisor de Schneider Electric

Confirmation et impact élargi de l’attaque

Confirmée officiellement par Schneider Electric le 29 janvier, l’attaque de ransomware a ciblé spécifiquement la division Sustainability Business, perturbant le service « Resource Advisor » ainsi que d’autres systèmes spécifiques à cette division. Schneider Electric a réagi rapidement, mobilisant son équipe d’intervention pour contenir l’incident et renforcer les mesures de sécurité existantes. Selon un communiqué de presse de l’entreprise, “Du point de vue de l’évaluation de l’impact, l’enquête en cours montre que des données ont été consultées. Au fur et à mesure que des informations supplémentaires seront disponibles, la division Sustainability Business de Schneider Electric poursuivra le dialogue directement avec ses clients concernés et continuera à fournir des informations et de l’aide le cas échéant.” Cette déclaration souligne l’engagement de Schneider Electric à communiquer ouvertement avec ses clients affectés et à fournir une assistance continue.

Capture d'écran du communiqué du 29.01.2024 de Schneider Electric
Capture d’écran du communiqué du 29.01.2024 de Schneider Electric

La stratégie des cybercriminels : double extorsion et vol de données

Le ransomware Cactus, identifié pour la première fois en mars 2023, a ciblé Schneider Electric avec une stratégie de double extorsion, rendant la plateforme inutilisable et dérobant des téraoctets de données. En plus de cette tactique, Cactus a démontré des techniques sophistiquées d’accès et d’attaque. Selon BleepingComputer, qui a été le premier à signaler l’attaque, Cactus utilise des outils légitimes comme Splashtop, AnyDesk et SuperOps RMM pour un accès à distance, ainsi que Cobalt Strike et Chisel pour les activités post-exploitation. Une fois l’accès obtenu, Cactus déploie un script batch pour désinstaller les solutions antivirus populaires, augmentant ainsi leur capacité à opérer sans être détectés. Pour l’exfiltration des données, Cactus utilise l’outil Rclone et un script PowerShell appelé TotalExec, utilisé auparavant par les opérateurs du ransomware BlackBasta, pour automatiser le processus de chiffrement. Cactus est aussi connu pour exploiter des vulnérabilités dans les VPN de Fortinet, un fournisseur de services utilisé par Schneider Electric, démontrant ainsi la sophistication technique des cybercriminels.

Les enjeux de sécurité : des données clients potentiellement compromises

En plus des préoccupations existantes, il est important de noter que la nature des données volées lors de l’attaque de Cactus pourrait être particulièrement sensible. La division Sustainability Business de Schneider Electric, ciblée par l’attaque, offre des services de conseil aux entreprises sur les solutions d’énergie renouvelable et la conformité aux réglementations climatiques. Par conséquent, les données compromises pourraient inclure des informations détaillées sur l’utilisation de l’énergie des clients, les systèmes de contrôle et d’automatisation industriels, ainsi que des données sur la conformité aux réglementations environnementales et énergétiques. Cette possibilité soulève des inquiétudes accrues quant à l’impact potentiel de l’attaque sur les clients de Schneider Electric et sur la sécurité des informations critiques dans le secteur de l’énergie. Parmi les clients de la branche développement durable de Schneider Electric, il y a plusieurs grandes entreprises comme Walmart, Lexmark, DHL ou encore PepsiCo.

Autres victimes de Cactus : un contexte plus large

En plus de Schneider Electric, Cactus a ciblé plusieurs autres entreprises françaises, ajoutant à la liste de ses victimes. Parmi elles, on trouve Odalys Vacances dans le secteur de l’hébergement touristique, Promotrans spécialisé dans la formation professionnelle et Agoravita, une entreprise de services numériques. Cette diversité de cibles illustre la menace polyvalente que représente Cactus dans le paysage de la cybercriminalité. Leur approche, combinant l’achat de credentials, des partenariats avec des distributeurs de malwares, des attaques de phishing et l’exploitation de vulnérabilités, démontre la sophistication et l’adaptabilité de leurs méthodes d’attaque. La capacité de Cactus à viser des entreprises dans des domaines aussi variés souligne l’importance pour toutes les industries de renforcer leurs mesures de cybersécurité face à des adversaires aussi polyvalents et imprévisibles.

Le gang Cactus : une menace croissante dans le monde du ransomware

Le gang Cactus, actif depuis mars 2023, s’est rapidement établi comme une menace sérieuse dans le monde du cybercrime. Avec un nombre croissant d’entreprises victimes, dont Schneider Electric, Cactus démontre une capacité notable à cibler et à compromettre des organisations de grande envergure. Pour une analyse approfondie de leurs méthodes et de leur impact, nous vous invitons à consulter notre article détaillé sur le gang Cactus.

Schneider Electric et la cybersécurité : un combat Continu

Ce n’est pas la première fois que Schneider Electric est victime d’une cyberattaque. Récemment, le gang de ransomware Clop avait exploité une faille de sécurité dans MOVEit Transfer, un autre service de l’entreprise, entraînant un vol de données. Ces incidents répétés mettent en lumière les défis constants auxquels les grandes entreprises doivent faire face en matière de cybersécurité.

Plan de restauration et mesures de sécurité

En réponse à l’attaque, Schneider Electric a rapidement mis en place un plan de restauration, visant à rétablir l’accès aux systèmes affectés sous deux jours ouvrés. Cette réactivité exemplaire témoigne de l’engagement de l’entreprise à minimiser l’impact sur ses opérations et ses clients. Cet incident met en lumière la nécessité pour les entreprises, quelle que soit leur taille, de renforcer continuellement leurs mesures de sécurité dans un monde de plus en plus connecté.

L’importance d’une réponse rapide et efficace : cet nouvelle cyberattaque souligne l’importance d’une gestion de crise efficace face aux menaces en pleine croissance des ransomwares. La capacité à réagir rapidement, à mettre en œuvre des mesures de restauration et à communiquer efficacement avec les parties prenantes est essentielle pour réduire les dommages et accélérer la reprise des activités normales.

Image de Florent Chassignol
Florent Chassignol
Attiré très jeune par l'informatique, je suis aujourd'hui Fondateur et CEO de Recoveo, leader français de la récupération de données. Vous êtes victime d'un ransomware, votre serveur est HS, votre téléphone a plongé dans la piscine ? Nous sommes là pour vous !

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *