ShadowByt3$ zasáhl Cropwise při ransomwarovém útoku na zemědělská data

ShadowByt3$ zasáhl Cropwise při ransomwarovém útoku na zemědělská data

Ransomwarová skupina známá jako ShadowByt3$ se přihlásila k odpovědnosti za kybernetický útok proti Cropwise, platformě pro precizní zemědělství provozované v rámci Syngenta Group, jednoho z největších světových zemědělských konglomerátů. Údajně došlo k exfiltraci dat spolu s výkupným, což vyvolává vážné obavy o bezpečnost zemědělských technologických systémů, které uchovávají citlivá provozní a zákaznická data.

Tento incident je jedním z několika ransomwarových nároků nahlášených v rychlém sledu, kdy různé skupiny cílí na podniky od velkého amerického distributora hub až po správcovskou společnost. Tento vzorec ukazuje na stále agresivnější ransomwarový ekosystém, v němž žádné odvětví, včetně zemědělských technologií, není nedotknutelné.

Co víme o útoku na Cropwise

Cropwise je platforma pro digitální agronomii, která shromažďuje a zpracovává podrobná data na úrovni farem, včetně map polí, plánů plodin, výnosových záznamů a agronomických doporučení. Data, která tyto platformy uchovávají, nejsou jen provozně citlivá; mohou zahrnovat osobní údaje spojené se zemědělci a zemědělskými podniky, které službu využívají.

ShadowByt3$ se již dříve přihlásili k útokům na jiné instituce, včetně hlášeného incidentu na Univerzitě Georgie, což naznačuje, že skupina aktivně rozšiřuje okruh svých cílů. Útok na Cropwise následuje již známý scénář: proniknout do cílové sítě, exfiltrovat cenná data, zašifrovat systémy a vydat výkupné podpořené hrozbou zveřejnění dat.

V této fázi nebyl plný rozsah kompromitovaných dat při útoku na Cropwise veřejně potvrzen. Společnost Syngenta Group se sídlem ve Švýcarsku v době psaní tohoto textu nevydala podrobné veřejné prohlášení.

Širší vlna ransomwarových nároků

Útok na Cropwise se neodehrál izolovaně. Ve stejném období se ransomwarová skupina Akira přihlásila k útoku na Moorman Harting, americkou správcovskou společnost, a hrozila odhalením citlivých finančních a osobních záznamů klientů. Samostatně byla jako oběť ransomwarového útoku nahlášena společnost Monterey Mushrooms, největší prodejce čerstvých hub ve Spojených státech. Další nejmenovaná skupina tvrdila, že v nesouvisejícím úniku získala pasová data od více než 300 zákazníků.

Tento shluk útoků podtrhuje bod, na který bezpečnostní odborníci upozorňují již léta: ransomwarové operace se industrializovaly. Skupiny fungují s dělbou práce, někdy si pronajímají infrastrukturu ransomware-as-a-service, zatímco jiní vyřizují vyjednávání a zveřejňování odcizených dat. Výsledkem je prostředí s vysokým objemem hrozeb napříč odvětvími.

Jak bylo vidět u incidentů, jako je průnik do dceřiné společnosti IBM Italy spojený s čínskými kybernetickými operacemi, sofistikovaní aktéři hrozeb často kombinují krádež dat s kompromitací systémů, takže obnova je mnohem složitější než pouhé obnovení zašifrovaných souborů.

Co to znamená pro vás

Pokud podnikáte v odvětví zemědělských technologií nebo v jakémkoli odvětví, které shromažďuje citlivá provozní data, je incident Cropwise přímou připomínkou toho, jak atraktivními cíli ransomwaru se tyto platformy staly. Hodnota dat z precizního zemědělství přesahuje samotnou platformu; představují konkurenční zpravodajství a osobní údaje tisíců provozovatelů farem.

Pro jednotlivé uživatele platforem, jako je Cropwise, je okamžitou obavou, zda mezi exfiltrovanými daty nebyly i osobní nebo firemní údaje. Dokud společnost Syngenta nebo Cropwise neposkytne podrobné oznámení o porušení, měli by uživatelé předpokládat, že jejich data mohou být ohrožena, a sledovat jakoukoli neobvyklou aktivitu na účtu nebo phishingové pokusy, které odkazují na jejich zemědělské operace.

Organizace zpracovávající velké objemy zákaznických dat by si také měly uvědomit, že služby monitorování dark webu se stále častěji používají ke sledování, zda se odcizené datové sady neobjeví na prodej nebo zda je nezveřejní ransomwarové skupiny. Nejde o pasivní obavu; uniklá data z jednoho narušení často podporují cílené útoky jinde.

Rizika se neomezují jen na soukromé podniky. Jak zdůrazňuje pokrytí hrozeb APT napojených na stát a jejich metod, i dobře vybavené organizace čelí trvalým a vyvíjejícím se technikám narušení. Ransomwarové skupiny převzaly některé z taktik laterálního pohybu a přípravy dat, které byly historicky spojovány se státem sponzorovanou špionáží.

Praktické kroky po tomto útoku

Zde je to, co by podniky a jednotlivci měli zvážit v důsledku podobných útoků:

• Na segmentaci sítě záleží. Ransomware se šíří laterálním pohybem přes připojené systémy. Izolace prostředí s citlivými daty od obecných obchodních sítí omezuje dosah jakéhokoli jednotlivého průniku.
• Sledujte expozici dat. Pokud jste vy nebo vaše firma používali Cropwise, sledujte oznámení od společnosti Syngenta a zvažte využití služeb monitorování úniků, abyste zjistili, zda se vaše data neobjevila online.
• Zkontrolujte rizika platforem třetích stran. SaaS platformy v zemědělství, financích a zdravotnictví uchovávají jménem svých uživatelů významná data. Podniky by se měly před nasazením ptát dodavatelů na jejich plány reakce na incidenty a postupy nakládání s daty.
• Udržujte přihlašovací údaje oddělené. Pokud opakovaně používáte hesla napříč platformami, stává se narušení jedné služby rizikem pro všechny ostatní. Používejte správce hesel a kdekoli je to možné, zapněte vícefaktorové ověřování.
• Mějte plán reakce. Ransomwarové incidenty postupují rychle. Organizace, které si nacvičily postupy reakce na incidenty, se zotavují rychleji a dochází u nich k menším ztrátám dat.

Útok skupiny ShadowByt3$ na Cropwise je ostrou připomínkou toho, že ransomwarové skupiny se neomezují jen na zjevné vysoce hodnotné cíle, jako jsou nemocnice nebo finanční instituce. Platformy pro precizní zemědělství a citlivá data, která uchovávají jménem zemědělců a agropodniků, se nyní pevně ocitají na mušce. Být informován a podnikat proaktivní kroky k zabezpečení dat již není pro žádnou organizaci, která nakládá s informacemi o zákaznících, volitelné.