ShadowByt3$ rammer Cropwise i ransomwareangreb på landbrugsdata

ShadowByt3$ rammer Cropwise i ransomwareangreb på landbrugsdata

Ransomwaregruppen kendt som ShadowByt3$ har påtaget sig ansvaret for et cyberangreb mod Cropwise, præcisionslandbrugsplatformen, der drives under Syngenta Group, et af verdens største landbrugskonglomerater. Angrebet omfattede angiveligt dataeksfiltrering sammen med et løsepengekrav, hvilket vækker alvorlig bekymring om sikkerheden i landbrugsteknologisystemer, der rummer følsomme drifts- og kundedata.

Denne hændelse er et af flere ransomwarekrav, der er rapporteret i hurtig rækkefølge, hvor separate grupper retter sig mod virksomheder lige fra en stor amerikansk svampedistributør til et formueforvaltningsfirma. Mønsteret peger på et stadig mere aggressivt ransomware-økosystem, hvor ingen sektor, heller ikke landbrugsteknologi, er friholdt.

Hvad vi ved om Cropwise-angrebet

Cropwise er en digital agronomiplatform, der indsamler og behandler detaljerede data på bedriftsniveau, herunder markkort, afgrødeplaner, udbytteregistreringer og agronomiske anbefalinger. Den type data, som sådanne platforme opbevarer, er ikke kun driftsmæssigt følsomme; de kan omfatte personoplysninger knyttet til landmænd og landbrugsvirksomheder, der er afhængige af tjenesten.

ShadowByt3$ har tidligere påtaget sig angreb mod andre institutioner, herunder en rapporteret hændelse ved University of Georgia, hvilket tyder på, at gruppen aktivt udvider sit målområde. Angrebet på Cropwise følger en nu velkendt drejebog: infiltrer et målnetværk, eksfiltrer værdifulde data, krypter systemer og fremsæt et løsepengekrav ledsaget af truslen om offentlig offentliggørelse af data.

På nuværende tidspunkt er det fulde omfang af de kompromitterede data i Cropwise-angrebet ikke offentligt bekræftet. Syngenta Group med hovedsæde i Schweiz har på tidspunktet for denne artikel ikke udsendt en detaljeret offentlig udtalelse.

En bredere bølge af ransomwarekrav

Cropwise-angrebet fandt ikke sted isoleret. Omtrent samtidig påtog Akira-ransomwaregruppen sig et angreb mod Moorman Harting, et amerikansk formueforvaltningsfirma, og truede med at afsløre følsomme kundeoplysninger af finansiel og personlig karakter. Separat blev Monterey Mushrooms, den største friske svampeafskiber i USA, rapporteret som offer for et ransomwareangreb. En anden unavngiven gruppe påstod at have fået fat i pasdata fra over 300 kunder i et uafhængigt brud.

Denne klynge af angreb understreger et punkt, som sikkerhedsfolk har fremført i årevis: Ransomwareoperationer er blevet industrialiserede. Grupper opererer med arbejdsdeling, lejer nogle gange ransomware-as-a-service-infrastruktur ud, mens andre håndterer forhandling og offentliggørelse af stjålne data. Resultatet er et trusselsmiljø med høj volumen og på tværs af sektorer.

Som set i hændelser som bruddet på IBM's italienske datterselskab knyttet til kinesiske cyberoperationer kombinerer sofistikerede trusselsaktører ofte datatyveri med systemkompromittering, hvilket gør genopretning langt mere kompleks end blot at gendanne krypterede filer.

Hvad det betyder for dig

Hvis du driver en virksomhed inden for landbrugsteknologisektoren eller en hvilken som helst sektor, der samler følsomme driftsdata, er Cropwise-hændelsen en direkte påmindelse om, hvor attraktive disse platforme er blevet som ransomwaremål. Værdien af præcisionslandbrugsdata rækker ud over selve platformen; det repræsenterer konkurrenceefterretninger og personoplysninger for tusindvis af bedriftsledere.

For individuelle brugere af platforme som Cropwise er den umiddelbare bekymring, om person- eller virksomhedsdata var blandt det, der blev eksfiltreret. Indtil Syngenta eller Cropwise udsender en detaljeret underretning om bruddet, bør brugere antage, at deres data kan være i fare, og overvåge for usædvanlig kontoaktivitet eller phishingforsøg, der refererer til deres landbrugsdrift.

Organisationer, der behandler store mængder kundedata, bør også være opmærksomme på, at overvågningstjenester for det mørke net i stigende grad bruges til at spore, om stjålne datasæt udbydes til salg eller offentliggøres af ransomwaregrupper. Dette er ikke en passiv bekymring; lækkede data fra ét brud giver ofte næring til målrettede angreb andre steder.

Risiciene er ikke begrænset til private virksomheder. Som fremhævet i dækningen af statsforbundne APT-trusler og deres metoder står selv ressourcestærke organisationer over for vedvarende og udviklende intrusionsteknikker. Ransomwaregrupper har adopteret nogle af de samme taktikker til lateral bevægelse og dataforberedelse, som historisk har været forbundet med statssponsoreret spionage.

Handlingsorienterede trin efter dette angreb

Her er hvad virksomheder og enkeltpersoner bør overveje i kølvandet på angreb som dette:

• Netværkssegmentering er afgørende. Ransomware spreder sig ved at bevæge sig lateralt gennem forbundne systemer. At holde miljøer med følsomme data isoleret fra generelle forretningsnetværk begrænser sprængningsradius for en enkelt indtrængning.
• Overvåg for dataeksponering. Hvis du eller din virksomhed brugte Cropwise, skal du holde øje med meddelelser fra Syngenta og overveje at bruge tjenester til overvågning af brud for at kontrollere, om dine data dukker op online.
• Gennemgå risiko ved tredjepartsplatforme. SaaS-platforme inden for landbrug, finans og sundhed opbevarer betydelige data på vegne af deres brugere. Virksomheder bør spørge leverandører om deres beredskabsplaner og praksis for datahåndtering, før de tager dem i brug.
• Hold adgangsoplysninger adskilt. Hvis du genbruger adgangskoder på tværs af platforme, bliver et brud hos én tjeneste til en risiko for alle andre. Brug en adgangskodeadministrator og aktivér multifaktorgodkendelse, hvor det er muligt.
• Hav en beredskabsplan. Ransomwarehændelser udvikler sig hurtigt. Organisationer, der har øvet deres procedurer for hændelsesrespons, kommer sig hurtigere og lider mindre datatab.

ShadowByt3$-angrebet på Cropwise er en skarp påmindelse om, at ransomwaregrupper ikke begrænser sig til indlysende mål af høj værdi som hospitaler eller finansielle institutioner. Præcisionslandbrugsplatforme og de følsomme data, de opbevarer på vegne af landmænd og landbrugsvirksomheder, er nu klart i sigtekornet. At holde sig informeret og tage proaktive skridt til at sikre data er ikke længere valgfrit for nogen organisation, der håndterer kundeoplysninger.