En una época donde la ciberseguridad se ha convertido en una prioridad crítica para las empresas de todos los tamaños, el reciente ataque de ransomware "Cactus" contra la gigante de la energía Schneider Electric resalta la creciente sofisticación y audacia de los ciberdelincuentes.
El ransomware "Cactus", un tipo de malware que cifra los datos de una víctima exigiendo un rescate para su liberación, ha ganado notoriedad por su ataque a Schneider Electric, una de las líderes mundiales en la gestión de la energía y automatización. Este software malicioso representa una evolución en las tácticas de ciberataques, enfocándose en entidades grandes con la promesa de lucros sustanciales.
Desde su inicio en marzo de 2023, la operación de ransomware conocida como Cactus ha afectado a un número creciente de empresas, las cuales han reportado ser víctimas de ataques cibernéticos.
Esta operación, al igual que otras de su tipo, involucra a actores de amenazas que comprometen las redes corporativas. Estos compromisos pueden lograrse mediante la adquisición de credenciales, colaboraciones con distribuidores de malware, ejecución de ataques de phishing o la explotación de vulnerabilidades en los sistemas.
Una vez que logran acceder a una red, estos actores proceden a extenderse discretamente a través de otros sistemas, al mismo tiempo que sustraen datos importantes alojados en los servidores. Tras completar el robo de datos y asegurar privilegios administrativos en la red, proceden a cifrar archivos y dejan instrucciones para el pago del rescate.
Posteriormente, llevan a cabo lo que se conoce como ataques de doble extorsión. Esto implica demandar un pago por un descifrador de archivos y, al mismo tiempo, amenazar con destruir o publicar los datos robados si no se cumple con su demanda.
Para las empresas que optan por no pagar el rescate, estos actores de amenazas amenazan con publicar o efectivamente publican sus datos robados en un sitio web dedicado a la filtración de estos datos.
Actualmente, más de 80 empresas aparecen en el sitio web de filtraciones de datos de Cactus. Para estas empresas, sus datos han sido divulgados o están bajo la amenaza de serlo si no se atienden las demandas de los atacantes.
Conoce más sobre: Entendiendo el Ransomware Cactus
Schneider Electric, una prominente empresa en el sector de la automatización y gestión de la energía, recientemente experimentó un serio incidente de ciberseguridad. Este ataque de ransomware, identificado como Cactus, resultó en el robo significativo de datos corporativos, de acuerdo con fuentes cercanas al caso.
Se ha informado que este ataque, que tuvo lugar a principios de mes, el 17 de enero, afectó especialmente a la división de Negocios de Sostenibilidad de la compañía. Una consecuencia directa de este incidente ha sido la perturbación de parte de la plataforma en la nube Resource Advisor de Schneider Electric, la cual sigue experimentando interrupciones.
Durante el ciberataque, los perpetradores del ransomware lograron sustraer terabytes de datos corporativos. Actualmente, están ejerciendo presión sobre la empresa mediante la amenaza de publicar estos datos a menos que se satisfaga su demanda de rescate.
Aunque no está claro qué tipo específico de datos fue sustraído, es importante destacar que la división Sustainability Business ofrece servicios de consultoría a organizaciones empresariales. Su labor implica asesorar sobre soluciones de energía renovable y ayudar a las empresas a cumplir con regulaciones climáticas complejas. Entre sus clientes se encuentran nombres destacados como Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo y Walmart. La información robada podría incluir datos delicados sobre el uso de energía de estos clientes, sus sistemas de control industrial y automatización, así como información relacionada con el cumplimiento de regulaciones ambientales y energéticas.
Hasta el momento, no se ha confirmado si Schneider Electric accederá a pagar el rescate. Si no lo hacen, existe la posibilidad de que los datos robados sean publicados, siguiendo un patrón observado en ataques previos de esta naturaleza.
Te podrá interesar leer: Evita el Pago de Ransomware: Riesgos del Rescate
En una declaración oficial, Schneider Electric ha confirmado que su división de Negocios de Sostenibilidad fue víctima de un ciberataque y que hubo acceso no autorizado a los datos. La compañía, sin embargo, asegura que el ataque se circunscribió a esta área específica, sin afectar a otros segmentos de la organización.
Schneider Electric, con sede en Francia, es una multinacional que produce una amplia gama de productos de energía y automatización. Estos van desde componentes eléctricos para uso doméstico hasta soluciones avanzadas de automatización de edificios y control industrial. Con unos ingresos de 28.500 millones de dólares en los primeros nueve meses de 2023 y más de 150.000 empleados globalmente, la empresa es un jugador clave en su sector. Se espera que Schneider Electric publique sus resultados financieros completos del año 2023 en el próximo mes.
Entre sus marcas de consumo más conocidas se encuentran Homeline, Square D y APC, conocido fabricante de dispositivos de suministro de energía ininterrumpida (UPS).
Cabe mencionar que Schneider Electric no es ajena a este tipo de incidentes, habiendo sido objetivo previamente de ataques de robo de datos a gran escala, como los llevados a cabo por la banda de ransomware Clop, que afectaron a más de 2.700 empresas.
También te podrá interesar: Ransomware CACTUS Ataca a través de Fallos en Qlik Sense
Notificación de Interrupción en la Plataforma Resource Advisor de Schneider Electric
El ataque de ransomware "Cactus" contra Schneider Electric es un recordatorio contundente de la constante evolución de las amenazas cibernéticas. Las empresas deben adoptar un enfoque proactivo, invirtiendo en formación, tecnología, y procedimientos para protegerse contra futuros ataques. La colaboración entre industrias y el intercambio de información sobre amenazas también jugarán un papel crucial en la lucha contra el ciberdelito.