ShadowByt3$ lovește Cropwise într-un atac ransomware asupra datelor agricole

ShadowByt3$ lovește Cropwise într-un atac ransomware asupra datelor agricole

Grupul de ransomware cunoscut sub numele de ShadowByt3$ a revendicat responsabilitatea pentru un atac cibernetic împotriva Cropwise, platforma de agricultură de precizie operată în cadrul Syngenta Group, unul dintre cele mai mari conglomerate agroindustriale din lume. Atacul ar fi implicat exfiltrarea de date alături de o cerere de răscumpărare, generând îngrijorări serioase cu privire la securitatea sistemelor tehnologice agricole care dețin date sensibile operaționale și ale clienților.

Acest incident este una dintre mai multe revendicări de ransomware raportate într-un interval scurt, grupuri separate vizând afaceri care variază de la un mare distribuitor american de ciuperci până la o firmă de administrare a averilor. Tiparul indică un ecosistem ransomware din ce în ce mai agresiv, în care niciun sector, inclusiv tehnologia agricolă, nu este interzis.

Ce știm despre atacul asupra Cropwise

Cropwise este o platformă digitală de agronomie care colectează și procesează date detaliate la nivel de fermă, inclusiv hărți ale câmpurilor, planuri de cultură, înregistrări ale recoltelor și recomandări agronomice. Tipul de date deținute de astfel de platforme nu este doar sensibil din punct de vedere operațional; poate include informații personale legate de fermieri și întreprinderile agricole care se bazează pe acest serviciu.

ShadowByt3$ a revendicat anterior atacuri asupra altor instituții, inclusiv un incident raportat la Universitatea din Georgia, sugerând că grupul își extinde în mod activ sfera de vizare. Atacul asupra Cropwise urmează un scenariu deja familiar: infiltrarea într-o rețea țintă, exfiltrarea datelor valoroase, criptarea sistemelor și emiterea unei cereri de răscumpărare susținută de amenințarea publicării datelor.

În această etapă, amploarea totală a datelor compromise în atacul asupra Cropwise nu a fost confirmată public. Syngenta Group, cu sediul în Elveția, nu a emis o declarație publică detaliată la momentul redactării.

Un val mai larg de revendicări ransomware

Atacul asupra Cropwise nu a avut loc izolat. În aceeași perioadă, grupul de ransomware Akira a revendicat un atac asupra Moorman Harting, o firmă americană de administrare a averilor, amenințând cu expunerea înregistrărilor sensibile financiare și personale ale clienților. Separat, Monterey Mushrooms, cel mai mare distribuitor de ciuperci proaspete din Statele Unite, a fost raportat ca victimă a unui atac ransomware. Un alt grup nenumit a pretins că a obținut date din pașapoarte de la peste 300 de clienți într-o breșă fără legătură.

Acest grup de atacuri subliniază un punct pe care profesioniștii în securitate l-au subliniat ani de zile: operațiunile ransomware au devenit industrializate. Grupurile operează cu structuri de diviziune a muncii, uneori închiriind infrastructură ransomware-as-a-service, în timp ce altele se ocupă de negociere și publicarea datelor furate. Rezultatul este un mediu de amenințare cu volum mare și multisectorial.

După cum s-a văzut în incidente precum breșa filialei IBM Italia legată de operațiuni cibernetice chineze, actorii de amenințare sofisticați combină frecvent furtul de date cu compromiterea sistemelor, făcând recuperarea mult mai complexă decât simpla restaurare a fișierelor criptate.

Ce înseamnă asta pentru tine

Dacă sunteți o companie care operează în sectorul tehnologiei agricole sau în orice sector care agregă date operaționale sensibile, incidentul Cropwise este un memento direct al cât de atractive au devenit aceste platforme ca ținte ransomware. Valoarea datelor de agricultură de precizie depășește platforma în sine; ele reprezintă informații competitive și date personale pentru mii de operatori agricoli.

Pentru utilizatorii individuali ai unor platforme precum Cropwise, preocuparea imediată este dacă datele personale sau de afaceri au fost printre cele exfiltrate. Până când Syngenta sau Cropwise furnizează o notificare detaliată de breșă, utilizatorii ar trebui să presupună că datele lor pot fi la risc și să monitorizeze orice activitate neobișnuită a contului sau tentative de phishing care fac referire la operațiunile lor agricole.

Organizațiile care procesează volume mari de date ale clienților ar trebui, de asemenea, să fie conștiente că serviciile de monitorizare a dark web-ului sunt din ce în ce mai utilizate pentru a urmări dacă seturile de date furate apar la vânzare sau sunt publicate de grupuri ransomware. Aceasta nu este o preocupare pasivă; datele scurse dintr-o breșă alimentează adesea atacuri direcționate în altă parte.

Riscurile nu se limitează la întreprinderile private. După cum s-a evidențiat în acoperirea amenințărilor APT legate de stat și a metodelor acestora, chiar și organizațiile bine dotate se confruntă cu tehnici de intruziune persistente și în evoluție. Grupurile de ransomware au adoptat unele dintre aceleași tactici de mișcare laterală și de pregătire a datelor asociate istoric cu spionajul sponsorizat de stat.

Pași acționabili după acest atac

Iată ce ar trebui să ia în considerare întreprinderile și persoanele fizice în urma unor astfel de atacuri:

• Segmentarea rețelei contează. Ransomware-ul se răspândește prin mișcarea laterală prin sistemele conectate. Izolarea mediilor de date sensibile de rețelele generale de afaceri limitează raza de explozie a oricărei intruziuni.
• Monitorizați expunerea datelor. Dacă dumneavoastră sau afacerea dvs. ați utilizat Cropwise, urmăriți notificările de la Syngenta și luați în considerare utilizarea serviciilor de monitorizare a breșelor pentru a verifica dacă datele dvs. apar online.
• Revizuiți riscul platformelor terțe. Platformele SaaS din agricultură, finanțe și sănătate dețin date semnificative în numele utilizatorilor lor. Întreprinderile ar trebui să întrebe furnizorii despre planurile lor de răspuns la incidente și practicile de gestionare a datelor înainte de integrare.
• Păstrați acreditările separate. Dacă reutilizați parolele pe diferite platforme, o breșă la un serviciu devine un risc pentru toate celelalte. Folosiți un manager de parole și activați autentificarea multi-factor oriunde este posibil.
• Aveți un plan de răspuns. Incidentele ransomware se mișcă rapid. Organizațiile care și-au exersat procedurile de răspuns la incidente se recuperează mai repede și suferă mai puține pierderi de date.

Atacul ShadowByt3$ asupra Cropwise este un memento brusc că grupurile de ransomware nu se limitează la ținte evidente de mare valoare, cum ar fi spitalele sau instituțiile financiare. Platformele de agricultură de precizie și datele sensibile pe care le dețin în numele fermierilor și întreprinderilor agricole sunt acum ferm în vizor. A rămâne informat și a lua măsuri proactive pentru a securiza datele nu mai este opțional pentru nicio organizație care gestionează informații ale clienților.