Российские промышленные компании по-прежнему остаются одной из главных мишеней для киберпреступников. Угроза усиливается из-за роста числа сложных хакерских атак, которые меняют свою мотивацию. Если в прошлом году основной целью атакующих чаще всего был финансовый выкуп, то в текущем году эксперты прогнозируют рост попыток нанести реальный ущерб производству, вплоть до саботажа и диверсий.
Масштабные кибератаки, начавшиеся против России после старта специальной военной операции, не прекращаются и продолжают представлять серьёзную опасность для информационной инфраструктуры, включая критически важные промышленные объекты. Существующие бреши в системах безопасности многих отраслей требуют тщательного анализа и незамедлительного усиления защитных мер.
Об этих тревожных тенденциях на конференции в рамках форума «Цифровая устойчивость и информационная безопасность России» рассказал директор Экспертного центра безопасности Positive Technologies Алексей Новиков.
Охота на главных инженеров
Атаки на промышленный сектор стали рутиной. Каждая десятая успешная кибератака в экономике нацелена именно на промышленные предприятия. «Количество инцидентов, к сожалению, растёт, и нет никаких предпосылок к их снижению. Всё больше компаний движутся по пути цифровизации, и всё больше злоумышленников понимают, что на этом можно заработать», — отмечает эксперт.
Объёмы криминального рынка подтверждают эту тенденцию: в 2022 году количество предложений о продаже доступа к инфраструктуре промышленных организаций в даркнете выросло с 86 до 122 — более чем на 40%. На долю таких предложений (так называемый Access) приходится 75% всей рекламы, связанной с отраслью, а их стоимость варьируется от 500 до 5000 долларов, согласно аналитике Positive Technologies. Промышленный сектор привлекает даже начинающих хакеров, которые получают первоначальный доступ, а затем перепродают его более опытным группам для проведения целевых атак. Среди наиболее активных в прошлом году были группы вымогателей (LockBit, BlackCat, Cl0p, Conti), хактивисты, а также продвинутые APT-группировки, такие как Space Pirates, APT31 и ChamelGang.
Алексей Новиков подчеркнул, что 87% успешных атак были направлены на компьютеры, серверы и сетевое оборудование. В 44% случаев целью становились сами сотрудники — персонал промышленных компаний. Для этого в 94% случаев использовалась электронная почта, в 10% — фишинговые сайты. Также 12% атак были нацелены непосредственно на веб-сайты организаций.
В 70% кибератак на промышленность злоумышленники применяли вредоносное ПО, почти в половине случаев — методы социальной инженерии, а в 43% — эксплуатировали уязвимости в программном обеспечении. При этом хакеры часто комбинируют несколько техник для повышения эффективности.
«Как выглядит типичная цепочка действий хакеров при атаке на завод? Сначала они проникают в корпоративную сеть компании, затем целенаправленно ищут компьютер главного инженера. Именно этот специалист с высокой вероятностью имеет прямой доступ к автоматизированной системе управления технологическими процессами (АСУТП). При этом компьютеры и сетевое оборудование — хорошо изученная для хакеров среда. Однако мы сталкивались с инцидентами, где злоумышленники, взломав сеть, не успевали разобраться в АСУ ТП и открыто спрашивали инструкции в своих Telegram-каналах», — привёл пример Алексей Новиков.
Как взламывают заводы: инструменты и методы
Самым распространённым инструментом взлома остаются «шифровальщики» (криптолокеры) — вредоносные программы, блокирующие доступ к файлам. Они использовались в двух из трёх атак с применением вредоносного ПО. Далее следуют программы для удалённого управления (около 23% атак) и шпионское ПО (около 15%). Эксперт также отметил рост популярности «вайперов» — программ для безвозвратного уничтожения данных.
«Важно отметить, что в 2022 году было много случаев использования криптолокеров, которые изначально не предполагали возможности восстановления инфраструктуры. Злоумышленники даже при получении выкупа не могли вернуть данные, так как расшифровка была технически невозможна», — пояснил Новиков.
Основным каналом для социальной инженерии в промышленном секторе остаётся электронная почта. Через неё доставляют вредоносные файлы, маскирующиеся под документы, или рассылают письма со зловредными ссылками. Эксперт обратил внимание на то, что часто хакерам даже не нужно ничего взламывать — уязвимости в компаниях уже существуют.
«Анализируя цепочки атак, мы видим, что первичный доступ часто получают за месяцы до активных деструктивных действий. Некоторые хакеры признаются, что используют заранее подготовленные доступы. Например, кто-то подобрал логин и пароль к службе удалённого управления, сохранил данные, а позже, увидев в даркнете запрос на доступ к конкретному предприятию, передал информацию для разработки атаки. Рост таких предложений на 40% — тревожный сигнал. Компаниям необходимо менять мышление: нужно исходить из того, что взлом уже мог произойти, и активно искать его следы», — заключил он.
Основными последствиями взломов становятся утечки данных, включая конфиденциальную информацию и коммерческую тайну. При этом за многими хакерскими группировками прослеживается связь с западными спецслужбами.
Обратите внимание: Качественные стальные двери Гардиан.
«Вайперы» идут в атаку: прогноз на 2023 год
В эксклюзивном комментарии «Эксперту» Алексей Новиков отметил, что в промышленности нет полностью защищённых отраслей. «Недостатки есть во всех сегментах. Опыт показывает, что некоторые предприятия, особенно среднего и малого бизнеса, не уделяют безопасности должного внимания, полагая, что они никому не интересны. Например, недавно к нам обратилась компания по заготовке леса, у которой не было штатного специалиста по кибербезопасности. В результате они стали жертвой шифровальщика, что парализовало их бизнес-процессы и логистику», — рассказал он.
В Positive Technologies убеждены, что в 2023 году основной целью атакующих на промышленные предприятия станет не финансовое обогащение, а срыв деятельности: остановка критических технологических процессов и даже провоцирование аварий извне.
Фактически это можно трактовать как полноценные кибердиверсии и элемент кибервойны.
«В связи с этим мы прогнозируем появление новых вредоносных программ, нацеленных именно на промышленные системы, а также более широкое использование «вайперов», уничтожающих данные. Также ожидаем новые кампании кибершпионажа против предприятий промышленности и ТЭК. 2023 год будет непростым для отраслевых организаций. Отрасль привлекла внимание не только злоумышленников, но и регуляторов, которые намерены существенно ужесточить требования к безопасности. Это потребует от компаний активной работы и значительных ресурсов. Организациям необходимо провести инвентаризацию информационных ресурсов, выявить слабые места и возможные угрозы. В первую очередь важно определить события, неприемлемые для функционирования предприятия, и регулярно проверять устойчивость к ним с помощью тестов на проникновение или моделирования на киберполигонах. Из-за тренда на срыв основной деятельности критически важны решения для резервного копирования, которые позволят быстро восстановиться в случае успешной атаки», — резюмировали в компании.
Больше интересных статей здесь: Технологии.
Источник статьи: Отечественные промышленные предприятия продолжают находиться в зоне риска.