Schneider Electric a confirmé qu’une plate-forme de développement avait été piratée après qu’un acteur malveillant ait prétendu avoir volé 40 Go de données sur le serveur JIRA de l’entreprise.
« Schneider Electric enquête sur un incident de cybersécurité impliquant un accès non autorisé à l’une de nos plateformes internes de suivi de l’exécution de projets, hébergée dans un environnement isolé », a déclaré Schneider Electric à BleepingComputer.
« Notre équipe mondiale de réponse aux incidents a été immédiatement mobilisée pour répondre à l’incident. Les produits et services de Schneider Electric ne sont pas affectés. »
Schneider Electric est une société multinationale française qui fabrique des produits d’énergie et d’automatisation allant des composants électriques domestiques trouvés dans les magasins à grande surface aux produits de contrôle industriel et d’automatisation des bâtiments au niveau des entreprises.
Au cours du week-end, un acteur menaçant connu sous le nom de « Grep » a nargué l’entreprise sur X, indiquant qu’ils avaient violé ses systèmes.
Lors d’une conversation avec BleepingComputer, Grep a déclaré avoir piraté le serveur Jira de Schneider Electric en utilisant des informations d’identification exposées. Une fois qu’ils ont obtenu l’accès, ils ont affirmé utiliser une API REST MiniOrange pour récupérer 400 000 lignes de données utilisateur, qui, selon Grep, comprennent 75 000 adresses e-mail uniques et noms complets des employés et des clients de Schneider Electric.
Dans un message publié sur un site Web sombre, l’acteur malveillant demande en plaisantant 125 000 $ en « baguettes » pour ne pas divulguer les données, partageant plus de détails sur ce qui a été volé.
« Cette violation a compromis des données critiques, notamment des projets, des problèmes et des plugins, ainsi que plus de 400 000 lignes de données utilisateur, soit plus de 40 Go de données compressées », peut-on lire dans un article publié sur le site d’extorsion Hellcat.
Grep a déclaré à BleepingComputer qu’ils avaient récemment formé un nouveau groupe de piratage, International Contract Agency (ICA), nommé d’après le jeu Hitman : Codename 47. L’acteur menaçant affirme que ce groupe n’a pas extorqué auparavant les entreprises qu’il a violées.
Cependant, après avoir appris que le nom « ICA » est associé à un « groupe de terroristes islamiques », les auteurs de la menace affirment s’être rebaptisés Hellcat ransomware gang et sont actuellement en train de tester un chiffreur destiné à être utilisé dans des attaques d’extorsion.
Grep a déclaré à BleepingComputer qu’ils extorquaient Schneider Electric, exigeant 125 000 $ pour ne pas divulguer de données volées, et la moitié de cette somme si une déclaration officielle était publiée.
Plus tôt cette année, la division « Sustainability Business » de Schneider Electric a été piratée lors d’une attaque de ransomware Cactus, dans laquelle les acteurs malveillants ont affirmé avoir volé des téraoctets de données.
Mise à jour du 05/11/24 : histoire mise à jour pour indiquer qu’ils sont passés au nom Hellcat et extorquent Schneider Electric.