Cactus группа грабит 1.5ТБ данных Schneider Electric, специализирующейся на энергии и автоматизации.

Группа вымогателей Cactus ransomware заявляет, что украла 1,5 ТБ данных у фирмы Schneider Electric, специализирующейся на управлении энергией и промышленной автоматизации.

Schneider Electric - международная компания, специализирующаяся на управлении энергией, промышленной автоматизации и цифровой трансформации.

В январе этого года в BleepingComputer была опубликована информация о кибератаке, которая произошла 17 января в бизнес-подразделении компании по устойчивому развитию. BleepingComputer связался с Schneider Electric, который подтвердил инцидент. Атака повлияла на услуги облачной платформы Resource Advisor Schneider Electric, вызвав сбои в ее работе. Компания утверждает, что другие подразделения не пострадали от атаки.

Сегодня группа вымогателей Cactus ransomware опубликовала 25 МБ предположительно украденных данных на сайте Tor.

Исследователи Kroll сообщили, что группа Cactus ransomware активна с марта 2023 года и отличается использованием шифрования для защиты исполняемого файла вымогателя. Cactus ransomware использует программу SoftPerfect Network Scanner (netscan) для поиска других целей в сети, а также команды PowerShell для перечисления конечных точек.

Вымогатель идентифицирует учетные записи пользователей, просматривая успешные входы в Windows Event Viewer, а также использует измененный вариант программного обеспечения PSnmap с открытым исходным кодом. Cactus ransomware полагается на несколько легальных инструментов (например, Splashtop, AnyDesk, SuperOps RMM) для удаленного доступа и использует Cobalt Strike и инструмент прокси Chisel для дальнейших действий после взлома.

Когда вредоносное программное обеспечение повышает привилегии на машине, злоумышленники используют пакетный скрипт для удаления популярных антивирусных решений. Cactus использует инструмент Rclone для вывода данных и использует скрипт PowerShell с названием TotalExec, который ранее использовали операторы вымогателей BlackBasta, для автоматизации процесса шифрования.

В начале января группа вымогателей Cactus ransomware заявила, что взломала Coop, одного из крупнейших розничных и продуктовых поставщиков в Швеции.