ShadowByt3$ χτυπά το Cropwise σε επίθεση ransomware για αγροτικά δεδομένα

ShadowByt3$ χτυπά το Cropwise σε επίθεση ransomware για αγροτικά δεδομένα

Η ομάδα ransomware γνωστή ως ShadowByt3$ ανέλαβε την ευθύνη για μια κυβερνοεπίθεση εναντίον του Cropwise, της πλατφόρμας γεωργίας ακριβείας που λειτουργεί υπό τον όμιλο Syngenta, έναν από τους μεγαλύτερους ομίλους αγροτικής τεχνολογίας παγκοσμίως. Σύμφωνα με αναφορές, η επίθεση περιλάμβανε αφαίρεση δεδομένων παράλληλα με απαίτηση λύτρων, εγείροντας σοβαρές ανησυχίες για την ασφάλεια των συστημάτων γεωργικής τεχνολογίας που διατηρούν ευαίσθητα επιχειρησιακά δεδομένα και δεδομένα πελατών.

Το περιστατικό αυτό είναι μία από τις πολλές αξιώσεις ransomware που αναφέρθηκαν σε σύντομο χρονικό διάστημα, με διαφορετικές ομάδες να στοχεύουν επιχειρήσεις που εκτείνονται από έναν μεγάλο διανομέα μανιταριών στις ΗΠΑ μέχρι μια εταιρεία διαχείρισης περιουσίας. Αυτό το μοτίβο δείχνει ένα ολοένα και πιο επιθετικό οικοσύστημα ransomware, όπου κανένας κλάδος –περιλαμβανομένης της γεωργικής τεχνολογίας– δεν είναι απρόσβλητος.

Τι γνωρίζουμε για την επίθεση στο Cropwise

Το Cropwise είναι μια ψηφιακή πλατφόρμα γεωπονίας που συλλέγει και επεξεργάζεται λεπτομερή δεδομένα σε επίπεδο αγροκτήματος, όπως χάρτες αγρών, σχέδια καλλιεργειών, αρχεία αποδόσεων και γεωπονικές συστάσεις. Ο τύπος των δεδομένων που διατηρούν τέτοιες πλατφόρμες δεν είναι απλώς επιχειρησιακά ευαίσθητος· μπορεί να περιλαμβάνει προσωπικές πληροφορίες που συνδέονται με αγρότες και γεωργικές επιχειρήσεις που βασίζονται στην υπηρεσία.

Η ShadowByt3$ έχει διεκδικήσει στο παρελθόν επιθέσεις εναντίον άλλων οργανισμών, συμπεριλαμβανομένου ενός αναφερόμενου περιστατικού στο Πανεπιστήμιο της Τζόρτζια, γεγονός που υποδηλώνει ότι η ομάδα διευρύνει ενεργά το πεδίο στόχευσής της. Η επίθεση στο Cropwise ακολουθεί ένα πλέον γνώριμο μοτίβο: διείσδυση σε ένα δίκτυο-στόχο, αφαίρεση πολύτιμων δεδομένων, κρυπτογράφηση συστημάτων και απαίτηση λύτρων με την απειλή δημόσιας δημοσιοποίησης των δεδομένων.

Σε αυτό το στάδιο, το πλήρες εύρος των δεδομένων που παραβιάστηκαν στην επίθεση Cropwise δεν έχει επιβεβαιωθεί δημόσια. Ο όμιλος Syngenta, με έδρα την Ελβετία, δεν έχει εκδώσει λεπτομερή δημόσια δήλωση μέχρι τη στιγμή της συγγραφής.

Ένα ευρύτερο κύμα αξιώσεων ransomware

Η επίθεση στο Cropwise δεν σημειώθηκε μεμονωμένα. Περίπου την ίδια περίοδο, η ομάδα ransomware Akira διεκδίκησε επίθεση στην Moorman Harting, μια αμερικανική εταιρεία διαχείρισης περιουσίας, απειλώντας με έκθεση ευαίσθητων οικονομικών και προσωπικών αρχείων πελατών. Ξεχωριστά, η Monterey Mushrooms, ο μεγαλύτερος διακινητής φρέσκων μανιταριών στις Ηνωμένες Πολιτείες, αναφέρθηκε ως θύμα επίθεσης ransomware. Μια άλλη ανώνυμη ομάδα ισχυρίστηκε ότι απέκτησε δεδομένα διαβατηρίων από περισσότερους από 300 πελάτες σε μια άσχετη παραβίαση.

Αυτό το σύμπλεγμα επιθέσεων υπογραμμίζει ένα σημείο που οι επαγγελματίες ασφαλείας τονίζουν εδώ και χρόνια: οι επιχειρήσεις ransomware έχουν εκβιομηχανιστεί. Οι ομάδες λειτουργούν με δομές καταμερισμού εργασίας, μερικές φορές εκμισθώνοντας υποδομές Ransomware-as-a-Service, ενώ άλλες αναλαμβάνουν τη διαπραγμάτευση και τη δημοσίευση κλεμμένων δεδομένων. Το αποτέλεσμα είναι ένα περιβάλλον απειλών υψηλού όγκου, πολλαπλών κλάδων.

Όπως φάνηκε σε περιστατικά όπως η παραβίαση της ιταλικής θυγατρικής της IBM που συνδέθηκε με κινεζικές κυβερνοεπιχειρήσεις, οι εξελιγμένοι φορείς απειλών συχνά συνδυάζουν την κλοπή δεδομένων με την παραβίαση συστημάτων, καθιστώντας την αποκατάσταση πολύ πιο σύνθετη από την απλή επαναφορά κρυπτογραφημένων αρχείων.

Τι σημαίνει αυτό για εσάς

Εάν είστε μια επιχείρηση που δραστηριοποιείται στον κλάδο της γεωργικής τεχνολογίας, ή σε οποιονδήποτε κλάδο που συγκεντρώνει ευαίσθητα επιχειρησιακά δεδομένα, το περιστατικό Cropwise αποτελεί μια άμεση υπενθύμιση του πόσο ελκυστικές έχουν γίνει αυτές οι πλατφόρμες ως στόχοι ransomware. Η αξία των δεδομένων γεωργίας ακριβείας υπερβαίνει την ίδια την πλατφόρμα· αντιπροσωπεύει ανταγωνιστικές πληροφορίες και προσωπικά δεδομένα για χιλιάδες φορείς εκμετάλλευσης αγροκτημάτων.

Για τους μεμονωμένους χρήστες πλατφορμών όπως το Cropwise, η άμεση ανησυχία είναι εάν προσωπικά ή επιχειρηματικά δεδομένα περιλαμβάνονταν σε αυτά που αφαιρέθηκαν. Μέχρι η Syngenta ή το Cropwise να παράσχουν λεπτομερή ειδοποίηση παραβίασης, οι χρήστες θα πρέπει να υποθέσουν ότι τα δεδομένα τους ενδέχεται να κινδυνεύουν και να παρακολουθούν για ασυνήθιστη δραστηριότητα λογαριασμού ή απόπειρες phishing που αναφέρονται στις γεωργικές τους δραστηριότητες.

Οι οργανισμοί που επεξεργάζονται μεγάλους όγκους δεδομένων πελατών θα πρέπει επίσης να γνωρίζουν ότι οι υπηρεσίες παρακολούθησης του σκοτεινού ιστού χρησιμοποιούνται όλο και περισσότερο για τον εντοπισμό κλεμμένων συνόλων δεδομένων που εμφανίζονται προς πώληση ή δημοσιεύονται από ομάδες ransomware. Αυτό δεν είναι μια παθητική ανησυχία· δεδομένα που διαρρέουν από μία παραβίαση συχνά τροφοδοτούν στοχευμένες επιθέσεις αλλού.

Οι κίνδυνοι δεν περιορίζονται σε ιδιωτικές επιχειρήσεις. Όπως επισημάνθηκε στην κάλυψη σχετικά με απειλές APT που συνδέονται με κράτη και τις μεθόδους τους, ακόμη και οργανισμοί με ισχυρούς πόρους αντιμετωπίζουν επίμονες και εξελισσόμενες τεχνικές εισβολής. Οι ομάδες ransomware έχουν υιοθετήσει ορισμένες από τις ίδιες τακτικές πλευρικής κίνησης και σταδιοποίησης δεδομένων που ιστορικά συνδέονται με κρατική κατασκοπεία.

Ενεργητικά βήματα μετά από αυτή την επίθεση

Ακολουθούν όσα θα πρέπει να εξετάσουν επιχειρήσεις και ιδιώτες στον απόηχο επιθέσεων όπως αυτή:

• Η κατάτμηση δικτύου έχει σημασία. Το ransomware εξαπλώνεται κινούμενο πλευρικά μέσα από συνδεδεμένα συστήματα. Η απομόνωση ευαίσθητων περιβαλλόντων δεδομένων από τα γενικά επιχειρηματικά δίκτυα περιορίζει την εμβέλεια κάθε μεμονωμένης εισβολής.
• Παρακολουθήστε για έκθεση δεδομένων. Εάν εσείς ή η επιχείρησή σας χρησιμοποιούσατε το Cropwise, δώστε προσοχή σε ειδοποιήσεις από τη Syngenta και εξετάστε τη χρήση υπηρεσιών παρακολούθησης παραβιάσεων για να ελέγξετε αν τα δεδομένα σας εμφανίζονται στο διαδίκτυο.
• Επανεξετάστε τον κίνδυνο πλατφορμών τρίτων. Οι πλατφόρμες SaaS στη γεωργία, τα χρηματοοικονομικά και την υγεία διατηρούν κρίσιμα δεδομένα για λογαριασμό των χρηστών τους. Οι επιχειρήσεις θα πρέπει να ρωτούν τους προμηθευτές για τα σχέδια αντιμετώπισης περιστατικών και τις πρακτικές διαχείρισης δεδομένων πριν την ενσωμάτωσή τους.
• Διατηρήστε ξεχωριστά διαπιστευτήρια. Εάν επαναχρησιμοποιείτε κωδικούς πρόσβασης σε πολλές πλατφόρμες, μια παραβίαση σε μία υπηρεσία γίνεται κίνδυνος για όλες τις άλλες. Χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης και ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων όπου είναι δυνατόν.
• Έχετε ένα σχέδιο αντιμετώπισης. Τα περιστατικά ransomware εξελίσσονται γρήγορα. Οι οργανισμοί που έχουν προετοιμάσει τις διαδικασίες αντιμετώπισης περιστατικών ανακάμπτουν ταχύτερα και υφίστανται μικρότερη απώλεια δεδομένων.

Η επίθεση της ShadowByt3$ στο Cropwise είναι μια απότομη υπενθύμιση ότι οι ομάδες ransomware δεν περιορίζονται σε προφανείς στόχους υψηλής αξίας, όπως νοσοκομεία ή χρηματοπιστωτικά ιδρύματα. Οι πλατφόρμες γεωργίας ακριβείας, και τα ευαίσθητα δεδομένα που διατηρούν για λογαριασμό αγροτών και γεωργικών επιχειρήσεων, βρίσκονται πλέον σαφώς στο στόχαστρο. Η ενημέρωση και η λήψη προληπτικών μέτρων για την ασφάλεια των δεδομένων δεν είναι πλέον προαιρετική για οποιονδήποτε οργανισμό διαχειρίζεται πληροφορίες πελατών.