ShadowByt3$ atakuje Cropwise w ataku ransomware na dane rolnicze

ShadowByt3$ atakuje Cropwise w ataku ransomware na dane rolnicze

Grupa ransomware znana jako ShadowByt3$ przyznała się do cyberataku na Cropwise, platformę rolnictwa precyzyjnego działającą w ramach Syngenta Group, jednego z największych na świecie konglomeratów agrobiznesowych. Atak miał obejmować eksfiltrację danych oraz żądanie okupu, co budzi poważne obawy dotyczące bezpieczeństwa systemów technologii rolniczej przechowujących wrażliwe dane operacyjne i dane klientów.

Ten incydent jest jednym z kilku roszczeń ransomware zgłoszonych w krótkim odstępie czasu, przy czym różne grupy atakowały firmy od dużego amerykańskiego dystrybutora grzybów po firmę zarządzającą majątkiem. Ten wzorzec wskazuje na coraz bardziej agresywny ekosystem ransomware, w którym żaden sektor, w tym technologia rolnicza, nie jest bezpieczny.

Co wiemy o ataku na Cropwise

Cropwise to cyfrowa platforma agronomiczna, która zbiera i przetwarza szczegółowe dane na poziomie gospodarstwa, w tym mapy pól, plany upraw, rejestry plonów i zalecenia agronomiczne. Rodzaj danych przechowywanych przez takie platformy jest nie tylko wrażliwy operacyjnie; może również zawierać dane osobowe powiązane z rolnikami i przedsiębiorstwami rolnymi, które polegają na tej usłudze.

ShadowByt3$ wcześniej przyznał się do ataków na inne instytucje, w tym na zgłoszony incydent na Uniwersytecie Georgia, co sugeruje, że grupa aktywnie poszerza zakres swoich celów. Atak na Cropwise przebiega według znanego już schematu: infiltracja sieci docelowej, eksfiltracja cennych danych, szyfrowanie systemów i wysunięcie żądania okupu popartego groźbą publicznego ujawnienia danych.

Na tym etapie pełny zakres danych naruszonych w ataku na Cropwise nie został publicznie potwierdzony. Syngenta Group z siedzibą w Szwajcarii nie wydała szczegółowego publicznego oświadczenia w chwili pisania tego tekstu.

Szersza fala roszczeń ransomware

Atak na Cropwise nie nastąpił w izolacji. Mniej więcej w tym samym okresie grupa ransomware Akira przyznała się do ataku na Moorman Harting, amerykańską firmę zarządzającą majątkiem, grożąc ujawnieniem wrażliwych danych finansowych i osobowych klientów. Oddzielnie, Monterey Mushrooms, największy sprzedawca świeżych grzybów w Stanach Zjednoczonych, został zgłoszony jako ofiara ataku ransomware. Inna nienazwana grupa twierdziła, że zdobyła dane paszportowe od ponad 300 klientów w niepowiązanym naruszeniu.

Ta seria ataków podkreśla punkt, który specjaliści ds. bezpieczeństwa podnoszą od lat: operacje ransomware uległy uprzemysłowieniu. Grupy działają ze strukturami podziału pracy, czasami wynajmując infrastrukturę ransomware-as-a-service, podczas gdy inne zajmują się negocjacjami i publikacją skradzionych danych. Rezultatem jest środowisko zagrożeń o dużej skali i wielosektorowe.

Jak widać w incydentach takich jak naruszenie w filii IBM we Włoszech powiązane z chińskimi operacjami cybernetycznymi, zaawansowani aktorzy zagrożeń często łączą kradzież danych z kompromitacją systemów, co sprawia, że odzyskiwanie jest o wiele bardziej złożone niż samo odzyskiwanie zaszyfrowanych plików.

Co to oznacza dla Ciebie

Jeśli prowadzisz działalność w sektorze technologii rolniczej lub w jakimkolwiek sektorze, który gromadzi wrażliwe dane operacyjne, incydent Cropwise jest bezpośrednim przypomnieniem, jak atrakcyjne stały się te platformy jako cele ransomware. Wartość danych rolnictwa precyzyjnego wykracza poza samą platformę; reprezentuje informacje wywiadowcze o konkurencji i dane osobowe tysięcy operatorów gospodarstw.

Dla indywidualnych użytkowników platform takich jak Cropwise, natychmiastowym problemem jest to, czy dane osobowe lub biznesowe znalazły się wśród tych, które zostały wykradzione. Dopóki Syngenta lub Cropwise nie przedstawi szczegółowego powiadomienia o naruszeniu, użytkownicy powinni zakładać, że ich dane mogą być zagrożone i monitorować wszelkie nietypowe aktywności na koncie lub próby phishingu odnoszące się do ich działalności rolniczej.

Organizacje przetwarzające duże ilości danych klientów powinny również mieć świadomość, że usługi monitorowania dark webu są coraz częściej wykorzystywane do śledzenia, czy skradzione zestawy danych pojawiają się na sprzedaż lub są publikowane przez grupy ransomware. Nie jest to bierna obawa; wyciekłe dane z jednego naruszenia często napędzają ukierunkowane ataki gdzie indziej.

Zagrożenia nie ograniczają się do prywatnych firm. Jak podkreślono w relacjach o zagrożeniach APT powiązanych z państwem i ich metodach, nawet dobrze wyposażone organizacje stają w obliczu ciągłych i ewoluujących technik włamań. Grupy ransomware przyjęły niektóre z tych samych taktyk ruchu bocznego i przygotowywania danych, które historycznie kojarzono ze sponsorowanym przez państwo szpiegostwem.

Praktyczne kroki po tym ataku

Oto, co firmy i osoby prywatne powinny rozważyć w następstwie takich ataków:

• Segmentacja sieci ma znaczenie. Ransomware rozprzestrzenia się, poruszając się bocznie przez połączone systemy. Izolowanie środowisk wrażliwych danych od ogólnych sieci biznesowych ogranicza zasięg rażenia każdego pojedynczego włamania.
• Monitoruj narażenie danych. Jeśli Ty lub Twoja firma korzystaliście z Cropwise, zwracajcie uwagę na powiadomienia od Syngenta i rozważcie skorzystanie z usług monitorowania naruszeń, aby sprawdzić, czy Wasze dane pojawiają się w sieci.
• Przejrzyj ryzyko związane z platformami stron trzecich. Platformy SaaS w rolnictwie, finansach i opiece zdrowotnej przechowują znaczące dane w imieniu swoich użytkowników. Firmy powinny pytać dostawców o ich plany reagowania na incydenty i praktyki dotyczące przetwarzania danych przed wdrożeniem.
• Trzymaj dane uwierzytelniające osobno. Jeśli ponownie używasz haseł na różnych platformach, naruszenie w jednej usłudze staje się zagrożeniem dla wszystkich innych. Używaj menedżera haseł i włączaj uwierzytelnianie wieloskładnikowe, gdziekolwiek to możliwe.
• Miej plan reagowania. Incydenty ransomware postępują szybko. Organizacje, które przećwiczyły swoje procedury reagowania na incydenty, szybciej się odbudowują i cierpią mniejsze straty danych.

Atak ShadowByt3$ na Cropwise jest wyraźnym przypomnieniem, że grupy ransomware nie ograniczają się do oczywistych wartościowych celów, takich jak szpitale czy instytucje finansowe. Platformy rolnictwa precyzyjnego i wrażliwe dane, które przechowują w imieniu rolników i przedsiębiorstw rolnych, są teraz zdecydowanie na celowniku. Pozostawanie poinformowanym i podejmowanie proaktywnych kroków w celu zabezpieczenia danych nie jest już opcjonalne dla żadnej organizacji przetwarzającej informacje o klientach.