ShadowByt3$ атакува Cropwise при рансъмуер атака срещу селскостопански данни

ShadowByt3$ атакува Cropwise при рансъмуер атака срещу селскостопански данни

Групата за рансъмуер, известна като ShadowByt3$, пое отговорност за кибератака срещу Cropwise – платформата за прецизно земеделие, управлявана от Syngenta Group, един от най-големите агробизнес конгломерати в световен мащаб. Съобщава се, че атаката е включвала извличане на данни заедно с искане за откуп, което поражда сериозни опасения относно сигурността на селскостопанските технологични системи, съдържащи чувствителни оперативни и клиентски данни.

Този инцидент е едно от няколкото съобщения за рансъмуер, докладвани в бърза последователност, като различни групи са се насочили към бизнеси, вариращи от голям американски дистрибутор на гъби до фирма за управление на богатство. Моделът сочи към все по-агресивна рансъмуер екосистема, в която нито един сектор, включително селскостопанските технологии, не е защитен.

Какво знаем за атаката срещу Cropwise

Cropwise е дигитална агрономическа платформа, която събира и обработва подробни данни на ниво ферма, включително карти на полета, планове за отглеждане, записи за добиви и агрономически препоръки. Типът данни, съхранявани от такива платформи, е не само оперативно чувствителен; той може да включва лична информация, свързана с фермери и селскостопански бизнеси, които разчитат на услугата.

ShadowByt3$ преди това е поемала отговорност за атаки срещу други институции, включително докладван инцидент в Университета на Джорджия, което предполага, че групата активно разширява обхвата си на действие. Атаката срещу Cropwise следва вече познат сценарий: проникване в целевата мрежа, извличане на ценни данни, криптиране на системите и отправяне на искане за откуп, подкрепено със заплаха за публично публикуване на данните.

На този етап пълният обем на компрометираните данни при атаката срещу Cropwise не е публично потвърден. Syngenta Group, със седалище в Швейцария, не е издала подробно публично изявление към момента на писане на този текст.

По-широка вълна от рансъмуер претенции

Атаката срещу Cropwise не се е случила изолирано. Приблизително по същото време рансъмуер групата Akira пое отговорност за атака срещу Moorman Harting – базирана в САЩ фирма за управление на богатство, заплашвайки с разкриване на чувствителни финансови и лични клиентски досиета. Отделно беше съобщено, че Monterey Mushrooms, най-големият търговец на пресни гъби в Съединените щати, е станал жертва на рансъмуер атака. Друга неназована група твърди, че е получила паспортни данни на над 300 клиента при отделен пробив.

Тази поредица от атаки подчертава теза, която специалистите по сигурността излагат от години: рансъмуер операциите са се индустриализирали. Групите работят със структури на разделение на труда, като понякога отдават под наем инфраструктура „рансъмуер като услуга“, докато други се занимават с преговори и публикуване на откраднати данни. Резултатът е среда на заплахи с голям обем и засягаща множество сектори.

Както се вижда при инциденти като пробива в италианското дъщерно дружество на IBM, свързан с китайски кибероперации, усъвършенстваните заплахи често комбинират кражба на данни с компрометиране на системата, което прави възстановяването далеч по-сложно от обикновеното възстановяване на криптирани файлове.

Какво означава това за вас

Ако сте бизнес, опериращ в сектора на селскостопанските технологии, или който и да е сектор, който агрегира чувствителни оперативни данни, инцидентът с Cropwise е директно напомняне колко привлекателни са станали тези платформи като цели за рансъмуер. Стойността на данните за прецизно земеделие надхвърля самата платформа; те представляват конкурентно разузнаване и лична информация за хиляди фермерски оператори.

За индивидуалните потребители на платформи като Cropwise непосредствената загриженост е дали личните или бизнес данните са били сред извлечените. Докато Syngenta или Cropwise не предоставят подробно уведомление за пробив, потребителите трябва да приемат, че техните данни може да са изложени на риск, и да следят за всяка необичайна активност по акаунтите или опити за фишинг, които се позовават на техните земеделски операции.

Организациите, обработващи големи обеми клиентски данни, също трябва да са наясно, че услугите за мониторинг на тъмната мрежа все по-често се използват за проследяване дали откраднати набори от данни се появяват за продажба или биват публикувани от рансъмуер групи. Това не е пасивна загриженост; изтеклите данни от един пробив често подхранват целенасочени атаки другаде.

Рисковете не са ограничени до частния бизнес. Както беше подчертано в отразяването на свързани с държави APT заплахи и техните методи, дори добре осигурени с ресурси организации са изправени пред постоянни и развиващи се техники за проникване. Рансъмуер групите са възприели някои от същите тактики за странично придвижване и подготвяне на данни, исторически свързвани с държавно спонсориран шпионаж.

Практически стъпки след тази атака

Ето какво трябва да обмислят бизнесите и индивидуалните лица в резултат на атаки като тази:

• Сегментирането на мрежата има значение. Рансъмуерът се разпространява чрез странично придвижване през свързани системи. Изолирането на среди с чувствителни данни от общите бизнес мрежи ограничава радиуса на поражение при всяко отделно проникване.
• Наблюдавайте за излагане на данни. Ако вие или вашият бизнес сте използвали Cropwise, следете за уведомления от Syngenta и обмислете използването на услуги за мониторинг на пробиви, за да проверите дали вашите данни се появяват онлайн.
• Прегледайте риска от трети страни платформи. SaaS платформите в селското стопанство, финансите и здравеопазването съхраняват значителни данни от името на своите потребители. Бизнесите трябва да питат доставчиците за техните планове за реакция при инциденти и практики за обработка на данни преди включването им.
• Дръжте идентификационните данни отделно. Ако използвате повторно пароли в различни платформи, пробив в една услуга се превръща в риск за всички останали. Използвайте мениджър на пароли и активирайте многофакторно удостоверяване навсякъде, където е възможно.
• Разполагайте с план за реакция. Инцидентите с рансъмуер се развиват бързо. Организациите, които са репетирали процедурите си за реагиране при инциденти, се възстановяват по-бързо и претърпяват по-малка загуба на данни.

Атаката на ShadowByt3$ срещу Cropwise е рязко напомняне, че рансъмуер групите не се ограничават до очевидни цели с висока стойност като болници или финансови институции. Платформите за прецизно земеделие и чувствителните данни, които те съхраняват от името на фермери и агробизнеси, вече са твърдо в техния мерник. Да бъдете информирани и да предприемате проактивни стъпки за сигурност на данните вече не е опция за никоя организация, която обработва клиентска информация.