Schneider Electric victime du ransomware Hellcat : une demande de rançon « en baguettes »

Schneider Electric, géant français en gestion de l’énergie et en automatisation, fait face à une nouvelle crise cybernétique. Ce leader mondial des solutions énergétiques qui couvre un éventail de secteurs allant de l’habitat résidentiel aux infrastructures critiques et aux industries est à nouveau victime d’une cyberattaque. Un groupe de ransomware, nommé Hellcat, a revendiqué le piratage du système Atlassian Jira de l’entreprise, accédant ainsi à des données sensibles. Revenons sur cette cyberattaque marquante qui soulève de nombreuses questions sur la sécurité informatique des grandes entreprises.

Le contexte de l’incident

Le 4 novembre 2023, Schneider Electric a confirmé avoir subi une intrusion dans son système de suivi de projets internes, hébergé dans un environnement isolé. Les attaquants ont utilisé un accès administrateur pour pénétrer l’instance Jira de Schneider Electric, compromettant ainsi des informations critiques telles que des projets, des problèmes techniques et des plugins. Cette attaque a abouti au vol de plus de 40 Go de données compressées.

Contacté par Bleeping Computer, Schneider Electric a confirmé l’attaque : “Schneider Electric enquête sur un incident de cybersécurité impliquant un accès non autorisé à l’une de nos plateformes internes de suivi de l’exécution des projets qui est hébergée dans un environnement isolé. Notre équipe mondiale d’intervention en cas d’incident a été immédiatement mobilisée pour répondre à l’incident : les produits et services de Schneider Electric ne sont pas affectés.”

L’étrange demande de rançon des hackers

L’un des éléments les plus surprenants de cette attaque est une demande de rançon inhabituelle. Les hackers de Hellcat semblent avoir un sens de l’humour particulier : ils exigent que Schneider Electric paie la rançon de 125 000 USD (soit environ 115 000 euros) en… baguettes ! Bien entendu, cette demande insolite est une plaisanterie, la vraie rançon étant demandée en Monero, une cryptomonnaie qui préserve l’anonymat des transactions.

Demande de rançon en baguettes par Hellcat
Capture d’écran – Source X (Twitter)

Bien que cette demande de rançon en “baguettes” paraisse surprenante, elle pourrait faire partie d’une stratégie de visilibité pour ce nouveau groupe de ransomware. Hüseyin Can Yuceel, chercheur en sécurité chez Picus Security a ainsi déclaré à Forbes que : “Le ransomware est un modèle commercial, et nous pouvons considérer cette étrange demande de baguettes comme un coup marketing” .Pour le chercheur il est probable le groupe Hellcat, nouveau venu sur la scène criminelle concurrentielle du ransomware, « essaie d’attirer l’attention et d’établir la confiance des futures victimes et associés pour une éventuelle opération de Ransomware-as-a-Service« .

Hellcat a aussi déclaré qu’en cas de reconnaissance publique de l’incident par Schneider Electric, ils seraient prêts à réduire la rançon de 50 % si le nouveau PDG de Schneider Electric, Olivier Blum, admet avoir le vol des données “C’est votre choix d’Olivier“, a déclaré Grep l’un des principaux acteurs de la menace. Cette tactique vise probablement à encourager une réponse rapide de la part de l’entreprise, tout en jouant sur la dimension publique de la réputation corporative. Le délai pour le paiement de la rançon est le 7 novembre, après quoi Hellcat a promis de divulguer les données volées.

Trois victimes du ransommware Hellcat
Capture d’écran – Source FalconFeeds sur X (Twitter)

Lundi, Hellcat, préalablement nommé ICA, avait également ajouté 2 autres nouvelles victimes à son portail sur le darkweb : le ministère jordanien de l’éducation et le College of Business Education de Tanzanie.

La méthode d’accès

Les pirates ont affirmé avoir exploité un accès root au système de Jira. Bien qu’ils n’aient pas détaillé comment cet accès a été obtenu, à priori via des informations d’identification mal protégées, il est clair que cela leur a permis de scraper des quantités massives de données. Une fois le serveur pénétré les hackeurs ont utilisé une API MiniOrange REST pour voler 40 Go d’informations sensibles, qu’ils ont ensuite segmentées en fichiers de 300 Mo chacun avant de les sauvegarder ailleurs.

L’impact sur Schneider Electric

Le timing de cette attaque ne pouvait être pire pour Schneider Electric. L’incident a coïncidé avec la nomination du nouveau PDG, Olivier Blum, rendant sa première semaine en poste particulièrement tumultueuse.

Selon les informations disponibles, les données compromises incluent non seulement des détails de projets internes, mais aussi des informations personnelles de plus de 400 000 lignes de données utilisateur. Ce qui représenterait selon ce qu’a déclaré Grep à BleepingComputer 75 000 adresses électroniques uniques et noms complets pour les employés et les clients de Schneider Electric.

Ce type de cyber-attaque peut affecter la confiance des clients et des partenaires commerciaux, ainsi que ternir l’image de marque de l’entreprise.

Réactions et enquêtes de Schneider Electric

Schneider Electric a immédiatement lancé une enquête approfondie pour comprendre l’étendue de la brèche et identifier les vulnérabilités exploitables. La réponse initiale de l’entreprise met l’accent sur le caractère isolé du système compromis et sur les mesures prises pour contenir la menace.

C’est la troisième cyberattaques en 18 mois dont est victime Schneider Electric. Après avoir été touchée par Cl0p en juin 2023, lors d’attaques à grande échelle utilisant une vulnérabilité de l’outil de transfert de fichiers MOVEit, la division «Sutainability Business» avait été ciblée par Cactus ransomware en janvier 2024.

Les conséquences des attaques de ransomware pour l’industrie

Cette attaque illustre une fois de plus combien il est vital pour les entreprises de toutes tailles de mettre en place des stratégies robustes de cybersécurité. Le vol massif de données sensibles détériore la relation de confiance entre les entreprises et leurs parties prenantes, ce qui peut avoir des effets durables sur la performance et la réputation.

L’intégrité des données

Maintenir l’intégrité et la confidentialité des données devient donc une priorité incontournable. Les entreprises doivent investir dans des technologies de pointe pour détecter et réagir rapidement aux incidents. Elles doivent aussi collaborer activement avec les autorités pour combattre efficacement ces menaces.

Pour limiter les risques de telles attaques, plusieurs mesures peuvent être mises en place. D’abord, adopter une approche de « Zero Trust » où chaque tentative d’accès est strictement vérifiée, même en interne. Ensuite, tenir à jour tous les logiciels et infrastructures, appliquer rapidement les correctifs de sécurité et former continuellement les employés à reconnaître les menaces potentielles.

Responsabilité et transparence

S’adressant directement aux consommateurs et aux partenaires, les entreprises doivent faire preuve de transparence concernant les mesures prises suite aux cyberattaques. Communiquer ouvertement sur les démarches entreprises pour rectifier les failles et protéger les données aide à regagner la confiance perdue.

L’affaire Schneider Electric nous rappelle combien il est impératif pour les grandes entreprises de renforcer leurs défenses contre les cybermenaces. Que ce soit par l’amélioration de la sécurité des API, l’application stricte des politiques de sécurité ou encore la transparence avec le public, chaque aspect compte pour assurer une résilience face aux attaques exponentielles de ransomwares.

Image de Florent Chassignol
Florent Chassignol
Attiré très jeune par l'informatique, je suis aujourd'hui Fondateur et CEO de Recoveo, leader français de la récupération de données. Vous êtes victime d'un ransomware, votre serveur est HS, votre téléphone a plongé dans la piscine ? Nous sommes là pour vous !

Partager cet article

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *