Ransomware chez Schneider Electric : un suspect nommé Cactus

Schneider Electric, victime de Cactus ? Le groupe cybercriminel ne le revendique pas encore sur son site vitrine. Mais l’entreprise française a confirmé, ce 29 janvier, avoir été attaquée. L’information venait alors de filtrer par voie de presse…

Dans la version officielle, l’incident s’est déroulé le 17 janvier. Il a touché la division Sustainability Business (conseil en développement durable). Et eu un impact aussi bien sur Resource Advisor (logiciel cloud de gestion de l’empreinte environnementale) que sur « des systèmes spécifiques à des divisions ».

Aux dernières nouvelles, on vise, chez Sustainability Business, la restauration sous deux jours ouvrés de l’accès aux systèmes touchés.

Il y a eu des accès indésirables à des informations, reconnaît Schneider Electric, sans en dire davantage.

Cactus semble avoir pu exfiltrer des téraoctets de données. Pratiquant la double extorsion, le groupe a déjà plusieurs entreprises françaises sur sa liste de victimes revendiquées. Nommément :

– Odalys Vacances (hébergement touristique ; siège à Paris)
– Promotrans (formation professionnelle ; Paris)
– Lagarde Meregnani (second œuvre ; Meurthe-et-Moselle)
– Agoravita (ESN ; Toulouse)

Identifié en mars 2023, Cactus exploite, en particulier, des vulnérabilités dans les VPN de Fortinet… dont Schneider Electric est client. On a constaté son usage, entre autres, de Cobalt Strike pour simuler des attaques, de Chisel pour établir des canaux de communication chiffrés et de SuperOps pour la gestion distante.

À consulter en complément :

Citrix Bleed : Boeing éclaire sur la faille qui lui a valu un ransomware
Windows et Linux, mondes à part pour les ransomwares
FIN12, ce groupe cybercriminel qui inonde la France de ransomwares
La cybersécurité, nouvelle discipline olympique ?

Illustration © Casimiro – Adobe Stock