ShadowByt3$ наносит удар по Cropwise: атака с выкупом за сельскохозяйственные данные

ShadowByt3$ наносит удар по Cropwise: атака с выкупом за сельскохозяйственные данные

Группа-вымогатель ShadowByt3$ взяла на себя ответственность за кибератаку на Cropwise — платформу точного земледелия, работающую под управлением Syngenta Group, одного из крупнейших мировых агропромышленных конгломератов. Сообщается, что атака включала кражу данных и требование выкупа, что вызывает серьёзные опасения по поводу безопасности агротехнологических систем, хранящих конфиденциальные операционные и клиентские данные.

Этот инцидент — один из нескольких заявлений вымогателей, поступивших почти одновременно: разные группы атаковали предприятия от крупного американского дистрибьютора грибов до компании по управлению активами. Такая картина указывает на всё более агрессивную экосистему вымогателей, где ни один сектор, включая агротехнологии, не остаётся в безопасности.

Что известно об атаке на Cropwise

Cropwise — это цифровая агрономическая платформа, которая собирает и обрабатывает детальные данные на уровне хозяйства: карты полей, планы посевов, сведения об урожайности и агрономические рекомендации. Данные, которые хранят подобные платформы, не просто оперативно важны; они могут включать личную информацию фермеров и сельхозпредприятий, пользующихся сервисом.

ShadowByt3$ ранее брала на себя ответственность за атаки на другие организации, включая заявленный инцидент в Университете Джорджии. Это говорит о том, что группа активно расширяет круг целей. Атака на Cropwise следует уже знакомому сценарию: проникновение в сеть жертвы, кража ценных данных, шифрование систем и требование выкупа под угрозой публичного раскрытия информации.

На данный момент полный масштаб скомпрометированных в атаке на Cropwise данных публично не подтверждён. Syngenta Group со штаб-квартирой в Швейцарии на момент публикации не выпустила подробного официального заявления.

Более широкая волна требований выкупа

Атака на Cropwise не была единичным случаем. Примерно в тот же период группа Akira заявила об атаке на Moorman Harting — американскую фирму по управлению активами, угрожая раскрытием конфиденциальных финансовых и личных данных клиентов. Отдельно сообщалось, что Monterey Mushrooms, крупнейший продавец свежих грибов в США, стал жертвой атаки вымогателей. Ещё одна неназванная группа утверждала, что получила паспортные данные более 300 клиентов в ходе другого, не связанного с этими событиями взлома.

Эта череда атак подчёркивает мысль, которую специалисты по безопасности повторяют годами: операции вымогателей стали индустриальными. Группировки работают с разделением труда, иногда сдавая в аренду инфраструктуру «вымогатель как услуга», в то время как другие занимаются переговорами и публикацией украденных данных. В результате возникает высокоинтенсивная, многосекторная среда угроз.

Как видно на примере взлома дочерней компании IBM в Италии, связанного с китайскими кибероперациями, изощрённые злоумышленники часто сочетают кражу данных с компрометацией систем, что делает восстановление гораздо более сложным, чем простое восстановление зашифрованных файлов.

Что это значит для вас

Если вы — компания, работающая в секторе агротехнологий или в любой отрасли, связанной с агрегацией чувствительных операционных данных, инцидент с Cropwise — прямое напоминание о том, насколько привлекательными становятся такие платформы в качестве целей для вымогателей. Ценность данных точного земледелия выходит за рамки самой платформы; они представляют собой конкурентную разведку и личную информацию тысяч фермеров.

Для индивидуальных пользователей платформ, подобных Cropwise, главный немедленный вопрос — были ли среди похищенных данных личные или деловые сведения. Пока Syngenta или Cropwise не предоставят подробного уведомления о взломе, пользователям следует исходить из того, что их данные могут быть под угрозой, и отслеживать любую необычную активность в учётных записях или фишинговые попытки, связанные с их фермерской деятельностью.

Организациям, обрабатывающим большие объёмы клиентских данных, также стоит знать, что сервисы мониторинга даркнета всё чаще используются для отслеживания появления украденных массивов данных в продаже или их публикации группами вымогателей. Это не пассивный риск: утечка данных из одного взлома часто подпитывает целенаправленные атаки в другом месте.

Угрозы не ограничиваются частным бизнесом. Как подчёркивается в материалах о связанных с государствами APT-угрозах и их методах, даже хорошо обеспеченные ресурсами организации сталкиваются с постоянными и развивающимися техниками вторжений. Вымогатели переняли тактики бокового перемещения и подготовки данных к краже, которые исторически ассоциировались с государственным шпионажем.

Практические шаги после этой атаки

Вот что бизнесу и частным лицам стоит рассмотреть после подобных атак:

• Сегментация сети имеет значение. Вымогатели распространяются, перемещаясь латерально по связанным системам. Изоляция сред с чувствительными данными от общих бизнес-сетей ограничивает радиус поражения любого отдельного вторжения.
• Отслеживайте утечки данных. Если вы или ваш бизнес использовали Cropwise, следите за уведомлениями от Syngenta и рассмотрите возможность использования сервисов мониторинга утечек, чтобы проверить, не появились ли ваши данные в сети.
• Оценивайте риски сторонних платформ. SaaS-платформы в сельском хозяйстве, финансах и здравоохранении хранят значительные объёмы данных от имени пользователей. Компаниям следует запрашивать у поставщиков планы реагирования на инциденты и практики обращения с данными ещё до подключения.
• Не используйте одни и те же учётные данные. Если вы повторно используете пароли на разных платформах, взлом одного сервиса становится риском для всех остальных. Пользуйтесь менеджером паролей и включайте многофакторную аутентификацию везде, где это возможно.
• Имейте план реагирования. Инциденты с вымогателями развиваются стремительно. Организации, отработавшие процедуры реагирования на инциденты, восстанавливаются быстрее и несут меньше потерь данных.

Атака ShadowByt3$ на Cropwise — резкое напоминание о том, что группы вымогателей не ограничиваются очевидными целями с высокой ценностью вроде больниц или финансовых учреждений. Платформы точного земледелия и конфиденциальные данные, которые они хранят от имени фермеров и агробизнеса, теперь прочно находятся под прицелом. Быть информированным и предпринимать проактивные меры по защите данных больше не является опцией для любой организации, обрабатывающей клиентскую информацию.