Blog

Energy giant Schneider Electric hit by Cactus ransomware attack

Energy giant Schneider Electric hit by Cactus ransomware attack

Energy management and automation giant Schneider Electric suffered a Cactus ransomware attack leading to the theft of corporate data, according to people familiar with the matter.

BleepingComputer has learned that the ransomware attack hit the company’s Sustainability Business division earlier this month on January 17th.

The attack disrupted some of Schneider Electric’s Resource Advisor cloud platform, which continue to suffer outages today.

The ransomware gang reportedly stole terabytes of corporate data during the cyberattack and is now extorting the company by threatening to leak the stolen data if a ransom demand is not paid.

While it is not known what type of data was stolen, the Sustainability Business division provides consulting services to enterprise organizations, advising on renewable energy solutions and helping them navigate complex climate regulatory requirements for companies worldwide.

Customers of Schneider Electric’s Sustainability Business division include Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo, and Walmart.

The stolen data could contain sensitive information about customers’ power utilization, industrial control and automation systems, and compliance with environmental and energy regulations.

It is not known if Schneider Electric will be paying a ransom demand, but if one is not paid, we will likely see the ransomware gang leaking the stolen data as they have done after previous attacks.

In a statement to BleepingComputer, Schneider Electric confirmed that its Sustainability Business division suffered a cyberattack and that data was accessed by the threat actors. However, the company says the attack was restricted to this one divisiion and did not impact other parts of the company.

“From a recovery standpoint, Sustainability Business is performing remediation steps to ensure that business platforms will be restored to a secure environment. Teams are currently testing the operational capabilities of impacted systems with the expectation that access will resume in the next two business days.

From a containment standpoint, as Sustainability Business is an autonomous entity operating its isolated network infrastructure, no other entity within the Schneider Electric group has been affected.

From an impact assessment standpoint, the on-going investigation shows that data have been accessed. As more information becomes available, the Sustainability Business division of Schneider Electric will continue the dialogue directly with its impacted customers and will continue to provide information and assistance as relevant.

From a forensic analysis standpoint, the detailed analysis of the incident continues with leading cybersecurity firms and the Schneider Electric Global Incident Response team continuing to take additional actions based on its outcomes, working with relevant authorities.” – Schneider Electric.

Schneider Electric is a French multinational company that manufactures energy and automation products ranging from household electrical components found in big box stores to enterprise-level industrial control and building automation products.

Schneider Electric had $28.5 billion in revenue for the first nine months of 2023 and employs over 150,000 people worldwide. Schneider Electric is expected to release its 2023 full-year financial results next month.

Some of its well-known consumer brands include Homeline, Square D, and APC, the manufacturer of widely used uninterruptable power supply (UPS) devices.

Schneider Electric was previously targeted in the widespread MOVEit data theft attacks by the Clop ransomware gang that impacted over 2,700 companies.

If you have any information regarding this incident or any other undisclosed attacks, you can contact us confidentially via Signal at 646-961-3731 or at tips@bleepingcomputer.com.

Who is Cactus ransomware

The Cactus ransomware operation launched in March 2023 and has since amassed numerous companies that they claim were breached in cyberattacks.

Like all ransomware operations, the threat actors will breach corporate networks through purchased credentials, partnerships with malware distributors, phishing attacks, or by exploiting vulnerabilities.

Once the threat actors gain access to a network, they quietly spread to other systems while stealing corporate data on servers.

After stealing the data and gaining administrative privileges on the network, the threat actors encrypt files and leave ransom notes behind.

Example Cactus ransom note from different attack

The threat actors will then conduct double-extortion attacks, which is when they demand a ransom to receive both a file decryptor and promise to destroy and not leak stolen data.

For those companies who do not pay a ransom, the threat actors will leak their stolen data on a data leak site.

At this time, there are over 80 companies listed on Cactus’ data leak site whose data has been leaked or the threat actors warn they will do so.

Leave a Reply

A gigante da energia Schneider Electric foi atacada pelo ransomware Cactus

A gigante da energia Schneider Electric foi atacada pelo ransomware Cactus

A gigante de gestão de energia e automação Schneider Electric sofreu um ataque de ransomware Cactus que resultou no roubo de dados corporativos, de acordo com pessoas familiarizadas com o assunto.

O BleepingComputer descobriu que o ataque de ransomware atingiu a divisão de Negócios Sustentáveis da empresa no início deste mês, em 17 de janeiro.

O ataque afetou parte da plataforma de nuvem Resource Advisor da Schneider Electric, que continua sofrendo interrupções até hoje.

O grupo de ransomware alegadamente roubou terabytes de dados corporativos durante o ciberataque e agora está extorquindo a empresa ameaçando vazar os dados roubados se um resgate não for pago.

Embora não se saiba que tipo de dados foi roubado, a divisão de Negócios Sustentáveis fornece serviços de consultoria a organizações empresariais, aconselhando sobre soluções de energia renovável e ajudando-as a navegar pelas complexas regulamentações climáticas para empresas em todo o mundo.


Os clientes da divisão de Negócios Sustentáveis da Schneider Electric incluem a Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo e Walmart.

Os dados roubados podem conter informações sensíveis sobre o uso de energia dos clientes, sistemas de controle industrial e automação, e conformidade com regulamentações ambientais e energéticas.

Não se sabe se a Schneider Electric pagará um resgate, mas se não pagar, é provável que vejamos o grupo de ransomware vazando os dados roubados, como fizeram após ataques anteriores.

Em comunicado ao BleepingComputer, a Schneider Electric confirmou que sua divisão de Negócios Sustentáveis sofreu um ciberataque e que os atores da ameaça acessaram os dados. No entanto, a empresa afirma que o ataque se limitou a essa única divisão e não afetou outras partes da empresa.

“Do ponto de vista da recuperação, a divisão de Negócios Sustentáveis está tomando medidas de remediação para garantir que as plataformas de negócios sejam restauradas em um ambiente seguro. As equipes estão testando atualmente as capacidades operacionais dos sistemas afetados, com a expectativa de que o acesso seja retomado nos próximos dois dias úteis.Do ponto de vista da contenção, como a divisão de Negócios Sustentáveis é uma entidade autônoma que opera em sua infraestrutura de rede isolada, nenhuma outra entidade dentro do grupo Schneider Electric foi afetada.

Do ponto de vista da avaliação de impacto, a investigação em curso mostra que os dados foram acessados. À medida que mais informações se tornarem disponíveis, a divisão de Negócios Sustentáveis da Schneider Electric continuará o diálogo diretamente com seus clientes afetados e continuará a fornecer informações e assistência conforme necessário.

Do ponto de vista da análise forense, a análise detalhada do incidente continua com as principais empresas de cibersegurança e a equipe de Resposta a Incidentes Globais da Schneider Electric continuará tomando medidas adicionais com base em seus resultados, trabalhando com as autoridades relevantes.” – Schneider Electric.

A Schneider Electric é uma empresa multinacional francesa que fabrica produtos de energia e automação, desde componentes elétricos domésticos encontrados em grandes lojas de departamento até produtos de controle industrial de nível empresarial e automação de edifícios.A Schneider Electric teve uma receita de $28,5 bilhões nos primeiros nove meses de 2023 e emprega mais de 150.000 pessoas em todo o mundo. A Schneider Electric deve divulgar seus resultados financeiros completos de 2023 no próximo mês.

Algumas de suas marcas conhecidas incluem Homeline, Square D e APC, fabricante de dispositivos amplamente utilizados de alimentação ininterrupta (UPS).

A Schneider Electric foi anteriormente alvo nos ataques generalizados de roubo de dados MOVEit pelo grupo de ransomware Clop que afetou mais de 2.700 empresas.

Quem é o ransomware Cactus

A operação de ransomware Cactus foi lançada em março de 2023 e desde então atingiu numerosas empresas que alegam terem sido violadas em ciberataques.
Assim como todas as operações de ransomware, os atores da ameaça violarão redes corporativas por meio de credenciais adquiridas, parcerias com distribuidores de malware, ataques de phishing ou exploração de vulnerabilidades.

Uma vez que os atores da ameaça ganham acesso a uma rede, eles se espalham silenciosamente para outros sistemas enquanto roubam dados corporativos em servidores.

Após roubar os dados e obter privilégios administrativos na rede, os atores da ameaça criptografam os arquivos e deixam notas de resgate.

Exemplo de nota de resgate Cactus de um ataque diferente
Os atores da ameaça conduzirão então ataques de dupla extorsão, o que significa que eles exigem um resgate para receber tanto um descriptografador de arquivos quanto a promessa de destruir e não vazar os dados roubados.

Para as empresas que não pagam o resgate, os atores da ameaça vazarão seus dados roubados em um site de vazamento de dados.

Neste momento, existem mais de 80 empresas listadas no site de vazamento de dados do Cactus cujos dados foram vazados ou os atores da ameaça alertam que o farão.



Leave a Reply

Gigante energético Schneider Electric afectada por ataque de ransomware Cactus

Gigante energético Schneider Electric afectada por ataque de ransomware Cactus

El gigante de gestión de energía y automatización, Schneider Electric, sufrió un ataque de ransomware Cactus que resultó en el robo de datos corporativos, según personas familiarizadas con el asunto.

BleepingComputer ha aprendido que el ataque de ransomware afectó a la división de Negocios Sostenibles de la compañía a principios de este mes, el 17 de enero.

El ataque interrumpió parte de la plataforma en la nube Resource Advisor de Schneider Electric, que sigue experimentando interrupciones en la actualidad.

El grupo de ransomware, supuestamente, robó terabytes de datos corporativos durante el ciberataque y ahora está extorsionando a la compañía amenazando con filtrar los datos robados si no se paga un rescate.

Aunque no se sabe qué tipo de datos se robaron, la división de Negocios Sostenibles ofrece servicios de consultoría a organizaciones empresariales, asesorando sobre soluciones de energía renovable y ayudándolas a navegar por las complejas regulaciones climáticas para empresas en todo el mundo.


Los clientes de la división de Negocios Sostenibles de Schneider Electric incluyen a Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo y Walmart.

Los datos robados podrían contener información sensible sobre la utilización de la energía de los clientes, sistemas de control industrial y automatización, y el cumplimiento de regulaciones ambientales y energéticas.

No se sabe si Schneider Electric pagará un rescate, pero si no se paga, es probable que veamos al grupo de ransomware filtrar los datos robados, como lo han hecho en ataques anteriores.

En un comunicado a BleepingComputer, Schneider Electric confirmó que su división de Negocios Sostenibles sufrió un ciberataque y que los actores de amenazas accedieron a los datos. Sin embargo, la empresa afirma que el ataque se limitó a esta única división y no afectó a otras partes de la empresa.

“Desde el punto de vista de la recuperación, la división de Negocios Sostenibles está llevando a cabo pasos de remediación para asegurar que las plataformas de negocios se restauren en un entorno seguro. Los equipos están probando actualmente las capacidades operativas de los sistemas afectados con la expectativa de que el acceso se reanude en los próximos dos días laborables.

Desde el punto de vista de la contención, dado que la división de Negocios Sostenibles es una entidad autónoma que opera en su propia infraestructura de red aislada, ninguna otra entidad dentro del grupo Schneider Electric se ha visto afectada.

Desde el punto de vista de la evaluación de impacto, la investigación en curso muestra que se accedió a los datos. A medida que esté disponible más información, la división de Negocios Sostenibles de Schneider Electric continuará el diálogo directamente con sus clientes afectados y seguirá proporcionando información y asistencia según corresponda.

Desde el punto de vista del análisis forense, el análisis detallado del incidente continúa con las principales firmas de ciberseguridad y el equipo de Respuesta Global a Incidentes de Schneider Electric continúa tomando acciones adicionales basadas en sus resultados, trabajando con las autoridades pertinentes.” – Schneider Electric.

Schneider Electric es una empresa multinacional francesa que fabrica productos de energía y automatización, desde componentes eléctricos para el hogar que se encuentran en grandes tiendas hasta productos de control industrial y automatización de edificios a nivel empresarial.

Schneider Electric tuvo ingresos de $28.5 mil millones en los primeros nueve meses de 2023 y emplea a más de 150,000 personas en todo el mundo. Se espera que Schneider Electric publique sus resultados financieros completos de 2023 el próximo mes.

Algunas de sus marcas de consumo conocidas incluyen Homeline, Square D y APC, el fabricante de dispositivos de suministro de energía ininterrumpible (UPS) ampliamente utilizados.

Schneider Electric fue anteriormente objetivo en los ataques generalizados de robo de datos MOVEit por parte de la banda de ransomware Clop que afectó a más de 2,700 compañías.
Si tiene información sobre este incidente u otros ataques no divulgados, puede contactarnos de manera confidencial a través de Signal al 646-961-3731 o en tips@bleepingcomputer.com.

¿Quién es el ransomware Cactus?

La operación de ransomware Cactus se lanzó en marzo de 2023 y desde entonces ha afectado a numerosas compañías que afirman haber sido violadas en ciberataques.
Al igual que todas las operaciones de ransomware, los actores de amenazas violarán las redes corporativas a través de credenciales compradas, asociaciones con distribuidores de malware, ataques de phishing o al explotar vulnerabilidades.

Una vez que los actores de amenazas obtienen acceso a una red, se propagan silenciosamente a otros sistemas mientras roban datos corporativos en servidores

Leave a Reply