Ransomware chez Schneider Electric : l’étau se resserre

Clément Bohic,
Linkedin
Schneider Electric Cactus ransomware

Le collectif cybercriminel auquel on a attribué l’attaque contre Schneider Electric vient de publier un échantillon de données.

Des abonnements Spotify et T-Mobile, des frais de baby-sitting « pour Elliot et Annabelle », des dons à une église évangélique… Bienvenue dans le budget d’une famille américaine… publié à son insu après l’attaque contre Schneider Electric.

Le 29 janvier, le groupe français avait confirmé l’attaque en question, après que l’information eut filtré par voie de presse. Les grandes lignes de sa com étaient les suivantes :

– Incident survenu le 17 janvier
– Implication d’un ransomware
– Impact sur la division Sustainability Business (conseil en développement durable)
– Perturbation de Resource Advisor (logiciel de gestion de l’empreinte environnementale) et d’autres systèmes « spécifiques à [cette] division »

1,5 To de données volées à Schneider Electric ?

Le 1er février, Schneider Electric avait mis à jour cette communication pour faire état du rétablissement des « plate-formes business » perturbées. Concernant d’éventuelles fuites de données, l’entreprise en était restée à son annonce initiale : il y a eu des accès indésirables…

On soupçonnait alors le groupe Cactus d’être derrière l’attaque. Identifié en mars 2023, il pratique la double extorsion et a déjà plusieurs entreprises françaises sur sa liste de victimes revendiquées. Parmi elles, Agoravita (ESN ; siège à Toulouse), Lagarde Meregnani (second œuvre ; Meurthe-et-Moselle), Odalys Vacances (hébergement touristique ; Paris) et Promotrans (formation professionnelle ; Paris).

Cactus n’avait pas affiché Schneider Electric sur cette liste… jusqu’au 19 février. Butin annoncé : 1,5 To de données. En guise de preuves, pour le moment, une arborescence de fichiers et un échantillon de 24 Mo… dans lequel se trouve le fameux budget familial. Y figurent aussi, entre autres, des passeports américains, une présentation sur le marché de l’énergie en Europe, un rapport stratégique relatif à un fabricant de systèmes de cogénération (énergie/chaleur) et un accord mutuel de non-divulgation avec AXA.

Dans ce contexte, Schneider Electric a mis à jour son communiqué, simplement pour expliquer que « l’attaquant a obtenu certaines données ».

Illustration © Casimiro – Adobe Stock