ShadowByt3$ rammer Cropwise i løsepengeangrep på landbruksdata

ShadowByt3$ rammer Cropwise i løsepengeangrep på landbruksdata

Løsepengevaregruppen kjent som ShadowByt3$ har påtatt seg ansvaret for et cyberangrep mot Cropwise, presisjonslandbruksplattformen som drives under Syngenta Group, et av verdens største landbrukskonsern. Angrepet skal ha involvert dataeksfiltrasjon sammen med et løsepengekrav, noe som skaper alvorlig bekymring for sikkerheten i landbruksteknologisystemer som inneholder sensitive drifts- og kundedata.

Denne hendelsen er ett av flere rapporterte løsepengevarekrav i tett rekkefølge, der separate grupper har rettet seg mot virksomheter fra en stor amerikansk soppdistributør til et formuesforvaltningsfirma. Mønsteret peker mot et stadig mer aggressivt løsepengevaresamfunn der ingen sektor, inkludert landbruksteknologi, er fredet.

Hva vi vet om Cropwise-angrepet

Cropwise er en digital agronomiplattform som samler inn og behandler detaljerte data på gårdsnivå, inkludert markskart, avlingsplaner, avlingshistorikk og agronomiske anbefalinger. Typen data slike plattformer besitter er ikke bare driftsmessig sensitive; de kan også inneholde personopplysninger knyttet til bønder og landbruksbedrifter som bruker tjenesten.

ShadowByt3$ har tidligere påtatt seg angrep mot andre institusjoner, blant annet en rapportert hendelse ved University of Georgia, noe som tyder på at gruppen aktivt utvider sitt målspekter. Angrepet mot Cropwise følger en nå velkjent fremgangsmåte: infiltrere målrettverket, eksfiltrere verdifulle data, kryptere systemer og utstede et løsepengekrav med trussel om offentliggjøring av data.

På dette stadiet er det fulle omfanget av kompromitterte data i Cropwise-angrepet ikke offentlig bekreftet. Syngenta Group, med hovedkontor i Sveits, har i skrivende stund ikke avgitt noen detaljert offentlig uttalelse.

En bredere bølge av løsepengevarekrav

Cropwise-angrepet skjedde ikke isolert. Omtrent samtidig påberopte Akira-løsepengevaregruppen seg et angrep mot Moorman Harting, et amerikansk formuesforvaltningsfirma, og truet med å eksponere sensitive finansielle og personlige klientjournaler. Separat ble Monterey Mushrooms, den største markedsføreren av fersk sopp i USA, rapportert som offer for et løsepengeangrep. En annen, ikke navngitt gruppe hevdet å ha fått tak i passdata fra over 300 kunder i et urelatert innbrudd.

Denne klyngen av angrep understreker et poeng sikkerhetseksperter har fremholdt i årevis: løsepengeoperasjoner har blitt industrielle. Grupper opererer med arbeidsdelingsstrukturer, noen ganger ved å lease ut ransomware-as-a-service-infrastruktur mens andre håndterer forhandling og publisering av stjålne data. Resultatet er et trusselbilde med høyt volum og på tvers av sektorer.

Slik vi har sett i hendelser som IBM Italias datterselskap-sikkerhetsbrudd knyttet til kinesiske cyberoperasjoner, kombinerer sofistikerte trusselaktører ofte datatyveri med systemkompromittering, noe som gjør gjenoppretting langt mer kompleks enn bare å gjenopprette krypterte filer.

Hva dette betyr for deg

Hvis du er en virksomhet i landbruksteknologisektoren, eller en hvilken som helst sektor som samler sensitiv driftsdata, er Cropwise-hendelsen en direkte påminnelse om hvor attraktive disse plattformene har blitt som mål for løsepengevirus. Verdien av presisjonslandbruksdata strekker seg utover selve plattformen; den representerer konkurransesensitiv informasjon og personopplysninger for tusenvis av gårdsbrukere.

For individuelle brukere av plattformer som Cropwise er den umiddelbare bekymringen om personlige eller forretningsmessige data var blant det som ble eksfiltrert. Inntil Syngenta eller Cropwise gir et detaljert varsel om datainnbrudd, bør brukere anta at deres data kan være i fare og overvåke for uvanlig kontoaktivitet eller phishing-forsøk som refererer til deres landbruksdrift.

Organisasjoner som behandler store mengder kundedata bør også være klar over at tjenester for overvåking av mørkenettet i stadig større grad brukes for å spore om stjålne datasett dukker opp for salg eller publiseres av løsepengevaregrupper. Dette er ikke en passiv bekymring; lekkede data fra ett innbrudd gir ofte næring til målrettede angrep andre steder.

Risikoen er ikke begrenset til private virksomheter. Som understreket i dekningen av statstilknyttede APT-trusler og deres metoder, møter selv ressurssterke organisasjoner vedvarende teknikker for inntrengning i utvikling. Løsepengevaregrupper har tatt i bruk noen av de samme teknikkene for lateral bevegelse og dataorganisering som historisk har vært forbundet med statssponset spionasje.

Handlingsrettede tiltak etter dette angrepet

Her er hva virksomheter og enkeltpersoner bør vurdere i kjølvannet av slike angrep:

• Nettverkssegmentering har betydning. Løsepengevirus sprer seg ved å bevege seg sideveis gjennom tilkoblede systemer. Å holde sensitive datamiljøer isolert fra generelle forretningsnettverk begrenser skadeomfanget ved ett enkelt inntrenging.
• Overvåk for dataeksponering. Hvis du eller din virksomhet brukte Cropwise, se etter varsler fra Syngenta og vurder å bruke overvåkingstjenester for datainnbrudd for å sjekke om dataene dine dukker opp på nettet.
• Gjennomgå risiko ved tredjepartsplattformer. SaaS-plattformer innen landbruk, finans og helsevesen innehar betydelige data på vegne av sine brukere. Virksomheter bør spørre leverandører om deres hendelsesresponsplaner og databehandlingspraksis før de tas i bruk.
• Hold påloggingsinformasjon adskilt. Hvis du gjenbruker passord på tvers av plattformer, blir et innbrudd hos én tjeneste en risiko for alle andre. Bruk en passordbehandler og aktiver flerfaktorautentisering der det er mulig.
• Ha en responsplan. Løsepengevarehendelser utvikler seg raskt. Organisasjoner som har øvd på sine prosedyrer for hendelseshåndtering gjenoppretter raskere og opplever mindre tap av data.

ShadowByt3$-angrepet på Cropwise er en skarp påminnelse om at løsepengevaregrupper ikke begrenser seg til åpenbare høyverdige mål som sykehus eller finansinstitusjoner. Presisjonslandbruksplattformer, og de sensitive dataene de oppbevarer på vegne av bønder og landbruksbedrifter, er nå klart i skuddlinjen. Å holde seg informert og ta proaktive grep for å sikre data er ikke lenger valgfritt for noen organisasjon som håndterer kundeinformasjon.