ShadowByt3$ napada Cropwise u ransomware napadu na poljoprivredne podatke

ShadowByt3$ napada Cropwise u ransomware napadu na poljoprivredne podatke

Ransomware grupa poznata kao ShadowByt3$ preuzela je odgovornost za cyber napad na Cropwise, platformu za preciznu poljoprivredu koja djeluje u sklopu Syngenta Grupe, jednog od najvećih svjetskih poljoprivrednih konglomerata. Napad je navodno uključivao eksfiltraciju podataka uz zahtjev za otkupninom, što izaziva ozbiljnu zabrinutost za sigurnost poljoprivrednih tehnoloških sustava koji čuvaju osjetljive operativne podatke i podatke o klijentima.

Ovaj incident jedan je od nekoliko ransomware napada prijavljenih u kratkom razdoblju, pri čemu su različite grupe ciljale tvrtke u rasponu od velikog američkog distributera gljiva do tvrtke za upravljanje imovinom. Ovaj obrazac ukazuje na sve agresivniji ransomware ekosustav u kojem nijedan sektor, uključujući poljoprivrednu tehnologiju, nije izvan granica napada.

Što znamo o napadu na Cropwise

Cropwise je digitalna agronomska platforma koja prikuplja i obrađuje detaljne podatke na razini farme, uključujući karte polja, planove usjeva, evidenciju prinosa i agronomske preporuke. Vrsta podataka koju takve platforme čuvaju nije samo operativno osjetljiva; ona može uključivati osobne podatke povezane s poljoprivrednicima i poljoprivrednim tvrtkama koje se oslanjaju na tu uslugu.

ShadowByt3$ je prethodno preuzeo odgovornost za napade na druge institucije, uključujući prijavljeni incident na Sveučilištu Georgia, što sugerira da grupa aktivno širi svoj opseg ciljanja. Napad na Cropwise slijedi već poznati obrazac: infiltracija u ciljanu mrežu, eksfiltracija vrijednih podataka, enkripcija sustava i izdavanje zahtjeva za otkupninom potkrijepljenog prijetnjom javnog objavljivanja podataka.

U ovom trenutku, puni opseg kompromitiranih podataka u napadu na Cropwise nije javno potvrđen. Syngenta Grupa, sa sjedištem u Švicarskoj, u vrijeme pisanja ovog teksta nije objavila detaljnu javnu izjavu.

Širi val ransomware napada

Napad na Cropwise nije se dogodio izolirano. Otprilike u isto vrijeme, ransomware grupa Akira preuzela je odgovornost za napad na Moorman Harting, američku tvrtku za upravljanje imovinom, prijeteći otkrivanjem osjetljivih financijskih i osobnih podataka klijenata. Odvojeno, Monterey Mushrooms, najveći američki distributer svježih gljiva, prijavljen je kao žrtva ransomware napada. Druga neimenovana grupa tvrdila je da je pribavila podatke o putovnicama više od 300 klijenata u nepovezanom proboju.

Ovaj niz napada naglašava ono što stručnjaci za sigurnost govore godinama: ransomware operacije postale su industrijalizirane. Grupe djeluju s podjelom rada, ponekad iznajmljujući infrastrukturu ransomware-as-a-service, dok drugi upravljaju pregovorima i objavom ukradenih podataka. Rezultat je okruženje prijetnji visokog obujma koje obuhvaća više sektora.

Kao što je vidljivo u incidentima poput proboja u podružnici IBM-a u Italiji povezanog s kineskim cyber operacijama, sofisticirani akteri prijetnji često kombiniraju krađu podataka s kompromitacijom sustava, čineći oporavak daleko složenijim od pukog obnavljanja enkriptiranih datoteka.

Što ovo znači za vas

Ako ste tvrtka koja djeluje u sektoru poljoprivredne tehnologije ili bilo kojem sektoru koji agregira osjetljive operativne podatke, incident s Cropwise izravan je podsjetnik koliko su ove platforme postale privlačne kao mete ransomware napada. Vrijednost podataka precizne poljoprivrede nadilazi samu platformu; oni predstavljaju konkurentske obavještajne podatke i osobne informacije tisuća poljoprivrednih operatera.

Za pojedinačne korisnike platformi poput Cropwisea, neposredna briga je jesu li osobni ili poslovni podaci bili među eksfiltriranim podacima. Dok Syngenta ili Cropwise ne pruže detaljnu obavijest o povredi, korisnici bi trebali pretpostaviti da bi njihovi podaci mogli biti ugroženi i pratiti bilo kakve neobične aktivnosti na računu ili phishing pokušaje koji se odnose na njihove poljoprivredne operacije.

Organizacije koje obrađuju velike količine podataka o klijentima također bi trebale biti svjesne da se usluge praćenja dark weba sve više koriste za praćenje pojavljuju li se ukradeni skupovi podataka u prodaji ili ih ransomware grupe objavljuju. Ovo nije pasivna briga; procurjeli podaci iz jednog proboja često potpiruju ciljane napade drugdje.

Rizici nisu ograničeni samo na privatne tvrtke. Kao što je istaknuto u izvješćima o prijetnjama povezanim s državnim APT akterima i njihovim metodama, čak se i dobro opremljene organizacije suočavaju s trajnim i evoluirajućim tehnikama upada. Ransomware grupe usvojile su neke od istih taktika lateralnog kretanja i pripreme podataka koje su povijesno povezivane s državno sponzoriranom špijunažom.

Praktični koraci nakon ovog napada

Evo što bi tvrtke i pojedinci trebali razmotriti u svjetlu ovakvih napada:

• Segmentacija mreže je važna. Ransomware se širi lateralnim kretanjem kroz povezane sustave. Izolacija okruženja s osjetljivim podacima od općih poslovnih mreža ograničava doseg svakog pojedinačnog upada.
• Pratite izloženost podataka. Ako ste vi ili vaša tvrtka koristili Cropwise, pratite obavijesti Syngente i razmislite o korištenju usluga praćenja povreda kako biste provjerili pojavljuju li se vaši podaci online.
• Pregledajte rizik platformi trećih strana. SaaS platforme u poljoprivredi, financijama i zdravstvu čuvaju značajne podatke u ime svojih korisnika. Tvrtke bi trebale pitati pružatelje o njihovim planovima odgovora na incidente i praksama rukovanja podacima prije uvođenja.
• Držite vjerodajnice odvojene. Ako ponovno koristite lozinke na različitim platformama, proboj na jednoj usluzi postaje rizik za sve ostale. Koristite upravitelj lozinki i omogućite višefaktorsku autentifikaciju gdje god je to moguće.
• Imajte plan odgovora. Ransomware incidenti odvijaju se brzo. Organizacije koje su uvježbale svoje procedure odgovora na incidente oporavljaju se brže i trpe manji gubitak podataka.

Napad grupe ShadowByt3$ na Cropwise oštar je podsjetnik da se ransomware grupe ne ograničavaju na očite mete visoke vrijednosti poput bolnica ili financijskih institucija. Platforme za preciznu poljoprivredu i osjetljivi podaci koje čuvaju u ime poljoprivrednika i agrobiznisa sada su čvrsto na meti. Biti informiran i poduzimati proaktivne korake za osiguranje podataka više nije opcionalno za bilo koju organizaciju koja rukuje informacijama o klijentima.