仙人掌勒索软件团伙声称从能源管理和工业自动化公司施耐德电气窃取了1.5TB的数据

仙人掌勒索软件团伙声称对从能源管理和工业自动化巨头施耐德电气窃取的1.5TB数据负责。施耐德电气是一家专注于能源管理、工业自动化和数字转型的跨国公司。今年1月，BleepingComputer首次报道了这次袭击事件，发生在1月17日该公司的可持续性业务部门。当时，BleepingComputer联系了施耐德电气，后者确认了数据泄露事件。这次攻击影响了施耐德电气的Resource Advisor云平台服务，导致了服务中断。施耐德电气表示公司的其他部门未受到网络攻击的影响。今天，仙人掌勒索软件团伙在其Tor泄霩网站上发布了据称被盗取的25MB数据。

仙人掌勒索软件团伙还发布了几张护照和公司文件的照片，作为黑客攻击的证据。 Dominic Alvieri (@AlvieriD) 在 2024 年 2 月 19 日发推文称：仙人掌勒索软件刚刚发布了施耐德电气的信息。该仙人掌勒索软件行动自 2023 年 3 月以来一直活跃。Kroll 的研究人员报告称，这种勒索软件的突出特点在于使用加密保护勒索软件二进制文件。

仙人掌勒索软件利用 SoftPerfect Network Scanner (netscan) 在网络上寻找其他目标，并使用 PowerShell 命令枚举终端。该勒索软件通过查看 Windows 事件查看器中的成功登录来识别用户帐户，还使用了开源工具 PSnmap Tool 的修改版本。

仙人掌勒索软件依赖多个合法工具（如 Splashtop、AnyDesk、SuperOps RMM）来实现远程访问，并在后渗透活动中使用 Cobalt Strike 和代理工具 Chisel。一旦恶意软件在计算机上提升了权限，威胁行为者就会使用批处理脚本卸载计算机上安装的流行防病毒解决方案。仙人掌勒索软件使用 Rclone 工具进行数据外泄，并使用名为 TotalExec 的 PowerShell 脚本（过去由 BlackBasta 勒索软件操作者使用）来自动化加密过程的部署。今年年初，仙人掌勒索软件团伙声称已经入侵了 Coop，瑞典最大的零售和食品杂货提供商之一。

原文始发于微信公众号（黑猫安全）：仙人掌勒索软件团伙声称从能源管理和工业自动化公司施耐德电气窃取了1.5TB的数据