ShadowByt3$ iskee Cropwiseen – kiristyshaittaohjelmahyökkäys maatalousdataan

ShadowByt3$ iskee Cropwiseen – kiristyshaittaohjelmahyökkäys maatalousdataan

ShadowByt3$-nimellä tunnettu kiristyshaittaohjelmaryhmä on ilmoittautunut Cropwiseen kohdistuneen kyberhyökkäyksen tekijäksi. Cropwise on Syngenta Groupin, yhden maailman suurimmista maatalousalan konserneista, alaisuudessa toimiva täsmäviljelyalusta. Hyökkäykseen kerrotaan sisältyneen tietojen varastaminen sekä lunnasvaatimus, mikä herättää vakavaa huolta maatalousteknologiajärjestelmien turvallisuudesta – järjestelmien, jotka sisältävät arkaluonteista operatiivista ja asiakasdataa.

Tämä tapaus on yksi useista lyhyen ajan sisällä raportoiduista kiristyshaittaohjelmavaatimuksista, joissa eri ryhmät ovat kohdistaneet iskunsa yrityksiin aina suuresta yhdysvaltalaisesta sienituottajasta varainhoitoyritykseen. Kaava viittaa yhä aggressiivisempaan kiristyshaittaohjelmaympäristöön, jossa mikään sektori, maatalousteknologia mukaan lukien, ei ole suojassa.

Mitä tiedämme Cropwiseen kohdistuneesta hyökkäyksestä

Cropwise on digitaalinen agronomia-alusta, joka kerää ja käsittelee yksityiskohtaista tilatason dataa, kuten lohkokarttoja, viljelysuunnitelmia, satotietoja ja agronomisia suosituksia. Tällaisten alustojen hallussaan pitämä tieto ei ole ainoastaan operatiivisesti arkaluonteista; se voi sisältää henkilötietoja, jotka liittyvät palvelua käyttäviin viljelijöihin ja maatalousyrityksiin.

ShadowByt3$ on aiemmin ilmoittautunut muihin instituutioihin kohdistuneiden hyökkäysten tekijäksi, mukaan lukien raportoitu tapaus Georgian yliopistossa, mikä viittaa siihen, että ryhmä laajentaa aktiivisesti kohdevalikoimaansa. Cropwiseen kohdistunut hyökkäys noudattaa nyt tuttua toimintamallia: tunkeudu kohdeverkkoon, varasta arvokasta dataa, salaa järjestelmät ja esitä lunnasvaatimus, jota vahvistaa uhkaus tietojen julkistamisesta.

Tässä vaiheessa Cropwiseen kohdistuneessa hyökkäyksessä vaarantuneen datan koko laajuutta ei ole julkisesti vahvistettu. Sveitsissä pääkonttoriaan pitävä Syngenta Group ei ole tätä kirjoitettaessa antanut yksityiskohtaista julkista lausuntoa.

Laajempi kiristyshaittaohjelmavaatimusten aalto

Cropwiseen kohdistunut hyökkäys ei tapahtunut eristyksissä. Samoihin aikoihin Akira-kiristyshaittaohjelmaryhmä ilmoittautui yhdysvaltalaiseen varainhoitoyritykseen Moorman Hartingiin kohdistuneen hyökkäyksen tekijäksi ja uhkasi paljastaa arkaluonteisia talous- ja henkilöasiakastietoja. Lisäksi Monterey Mushroomsin, Yhdysvaltojen suurimman tuoreiden sienten markkinoijan, raportoitiin joutuneen kiristyshaittaohjelmahyökkäyksen uhriksi. Toinen nimeämätön ryhmä väitti saaneensa haltuunsa passitietoja yli 300 asiakkaalta toisiinsa liittymättömässä tietomurrossa.

Tämä hyökkäysten ryväs korostaa seikkaa, jota tietoturva-ammattilaiset ovat tuoneet esiin jo vuosia: kiristyshaittaohjelmatoiminnasta on tullut teollistunutta. Ryhmät toimivat työnjakorakenteilla, toisinaan vuokraamalla kiristyshaittaohjelmat palveluna -infrastruktuuria, kun taas toiset hoitavat neuvottelut ja varastetun datan julkaisemisen. Lopputuloksena on suurivolyyminen, useita sektoreita koskettava uhkaympäristö.

Kuten tapauksessa, jossa IBM:n Italian-tytäryhtiön tietomurto yhdistettiin kiinalaisiin kyberoperaatioihin, kehittyneet uhkatoimijat yhdistävät usein tietovarkaudet ja järjestelmien kompromisoinnin, mikä tekee toipumisesta huomattavasti monimutkaisempaa kuin pelkkä salattujen tiedostojen palauttaminen.

Mitä tämä tarkoittaa sinulle

Jos olet maatalousteknologia-alalla tai millä tahansa sektorilla, joka kerää arkaluonteista operatiivista dataa, Cropwseen kohdistunut tapaus on suora muistutus siitä, kuinka houkutteleviksi kohteiksi nämä alustat ovat kiristyshaittaohjelmien näkökulmasta muuttuneet. Täsmäviljelydatan arvo ulottuu itse alustaa pidemmälle; se edustaa kilpailutiedustelua ja tuhansien tilanhoitajien henkilötietoja.

Yksittäisille Cropwseen kaltaisten alustojen käyttäjille välitön huolenaihe on, oliko henkilö- tai yritysdataa varastetun aineiston joukossa. Kunnes Syngenta tai Cropwise antaa yksityiskohtaisen tietomurtoilmoituksen, käyttäjien tulisi olettaa, että heidän tietonsa saattavat olla vaarassa, ja seurata epätavallista tilitoimintaa tai maataloustoimintaan viittaavia tietojenkalasteluyrityksiä.

Organisaatioiden, jotka käsittelevät suuria määriä asiakasdataa, tulisi myös huomioida, että dark web -seurantapalveluita käytetään yhä enemmän sen seuraamiseen, ilmestyvätkö varastetut tietoaineistot myyntiin tai julkaistaanko ne kiristyshaittaohjelmaryhmien toimesta. Tämä ei ole passiivinen huolenaihe; yhdestä tietomurrosta vuotanutta dataa käytetään usein kohdennettujen hyökkäysten polttoaineena muualla.

Riskit eivät rajoitu yksityisiin yrityksiin. Kuten valtiollisiin APT-uhkiin ja niiden menetelmiin keskittyvässä uutisoinnissa on korostettu, jopa hyvin resursoidut organisaatiot kohtaavat jatkuvia ja kehittyviä tunkeutumistekniikoita. Kiristyshaittaohjelmaryhmät ovat omaksuneet joitakin samoja sivuttaisliikkumisen ja datan kokoamisen taktiikoita, jotka on historiallisesti yhdistetty valtion tukemaan vakoiluun.

Konkreettiset toimenpiteet tämän hyökkäyksen jälkeen

Seuraavassa on asioita, joita yritysten ja yksityishenkilöiden tulisi harkita tällaisten hyökkäysten jälkimainingeissa:

• Verkon segmentointi on tärkeää. Kiristyshaittaohjelma leviää liikkumalla sivuttaisesti verkossa toisiinsa kytkettyjen järjestelmien kautta. Arkaluonteisten dataympäristöjen pitäminen eristettyinä yleisistä liiketoimintaverkoista rajoittaa yksittäisen tunkeutumisen vaikutusaluetta.
• Seuraa tietojen paljastumista. Jos sinä tai yrityksesi käytitte Cropwisea, tarkkaile Syngentan ilmoituksia ja harkitse tietomurtojen seurantapalveluiden käyttöä tarkistaaksesi, ilmestyykö tietojasi verkkoon.
• Arvioi kolmannen osapuolen alustariski. Maatalous-, rahoitus- ja terveydenhuoltoalan SaaS-alustat pitävät hallussaan merkittäviä määriä dataa käyttäjiensä puolesta. Yritysten tulisi kysyä toimittajilta heidän häiriötilanteiden toimintasuunnitelmistaan ja datan käsittelykäytännöistään ennen palvelun käyttöönottoa.
• Pidä kirjautumistiedot erillisinä. Jos käytät samoja salasanoja eri alustoilla, yhden palvelun tietomurto muuttuu riskiksi kaikille muillekin. Käytä salasanahallintaa ja ota monivaiheinen todennus käyttöön aina kun mahdollista.
• Laadi toimintasuunnitelma. Kiristyshaittaohjelmatilanteet etenevät nopeasti. Organisaatiot, jotka ovat harjoitelleet häiriötilanteiden toimintamenettelynsä, toipuvat nopeammin ja kärsivät vähemmän datamenetyksiä.

ShadowByt3$:n hyökkäys Cropwiseen on terävä muistutus siitä, etteivät kiristyshaittaohjelmaryhmät rajoita toimintaansa ilmeisiin arvokkaisiin kohteisiin, kuten sairaaloihin tai rahoituslaitoksiin. Täsmäviljelyalustat ja niiden hallussaan pitämä arkaluonteinen data viljelijöiden ja maatalousyritysten puolesta ovat nyt lujasti tähtäimessä. Tiedon ylläpitäminen ja ennakoivat toimet datan turvaamiseksi eivät ole enää valinnaisia millekään asiakasdataa käsittelevälle organisaatiolle.