Отечественные промышленные компании продолжают подвергаться риску. Причина — увеличение количества продвинутых хакерских атак. Если в прошлом году их целью чаще всего было достижение финансовой выгоды, то в этом году прогнозируются попытки устроить настоящий саботаж на производстве.
Кибератаки, обрушившиеся на Россию сразу после начала спецоперации, продолжают угрожать нашей ИТ-инфраструктуре, в том числе промышленным предприятиям. В настоящее время слабые места, обнаруженные в системе безопасности многих отраслей, требуют глубокого изучения и повышенного внимания.
Об этом директор Экспертного центра безопасности Positive Technologies Алексей Новиков рассказал на конференции, прошедшей в рамках форума «Цифровая устойчивость и информационная безопасность России.
Охота на главных инженеров
Кибератаки на промышленность происходят постоянно. Каждое десятое успешное действие такого типа приходится именно на этот сегмент экономики. - Количество инцидентов, к сожалению, растет. И нет никаких предпосылок к тому, чтобы их стало меньше. Все больше компаний идут в сторону цифровизации и все больше злоумышленников понимают, что на этом можно заработать, считает эксперт.
Количество доступов к инфраструктуре промышленных организаций, выставленных на продажу в даркнете, в 2022 году увеличилось с 86 до 122 — более чем на 40%. На Access приходится 75% всей рекламы, связанной с отраслью, а их стоимость обычно колеблется от 500 до 5000 долларов, согласно аналитическому материалу Positive Technologies, на который ссылается спикер. Промышленный сектор, по мнению экспертов, привлекает даже неквалифицированных киберпреступников легкими деньгами. Они получают первоначальный доступ, а затем продают его более компетентным злоумышленникам для дальнейшего развития взлома. Исследователи подчеркивают, что наиболее активными в атаке в прошлом году были группы вымогателей, в первую очередь, такие как LockBit, BlackCat, Cl0p и Conti, хактивисты, а также APT-группировки, такие как Space Pirates, APT31 и ChamelGang.
Алексей Новиков отметил, что основная часть успешных атак была направлена на компьютеры, серверы и сетевое оборудование — 87%. В 44% случаев «атаке» подверглись сами работники, т.е персонал промышленных компаний. Такие операции проводились с использованием электронной почты в 94% случаев, фишинговых сайтов - в 10%. При этом 12% атак были направлены на сайты организаций данного сектора.
При проведении 70% кибератак на промышленные компании злоумышленники использовали вредоносное ПО, почти в половине случаев — методы социальной инженерии, а в 43% — эксплуатировали уязвимости в программном обеспечении. При этом хакеры часто комбинируют несколько способов взлома.
«Как выглядит цепочка действий хакеров, когда они хотят проникнуть на промышленное предприятие? Сначала он взламывает сеть компании, затем злоумышленники ищут компьютер главного инженера. И этот главный инженер, скорее всего, имеет сквозной доступ к автоматизированной системе управления технологическими процессами (АСУТП). В то же время компьютеры и сетевое оборудование хорошо изучены хакерами, умеющими с ними работать. Однако в ряде случаев мы видели инциденты, когда злоумышленники не успевали разбираться в функциях АСУ ТП. После взлома корпоративной сети телегам-каналы спрашивали: «Коллеги, у кого есть инструкция по работе с некой АСУ ТП?», — рассказал Алексей Новиков.
Как взломать завод?
Самым распространенным средством взлома стали «шифровальщики» (криптолокеры) — семейство вредоносных программ, которые с помощью различных алгоритмов шифрования блокируют пользователям доступ к файлам на компьютере. Они использовались в двух из трех атак вредоносных программ. Далее идут вредоносные программы для удаленного управления (около 23% атак) и шпионские программы (около 15% случаев). Представитель Positive Technologies также отметил, что вайперы, программное обеспечение для стирания данных, также приобрели «популярность.
«Нужно отметить, что в 2022 году было большое количество криптографов, которые не предполагали, что инфраструктуру можно будет восстановить.
Обратите внимание: Качественные стальные двери Гардиан.
Злоумышленники не намерены даже при получении выкупа передавать информацию, так как расшифровать ее все равно будет невозможно , — пожаловался он.Наиболее широко используемым каналом социальной инженерии в промышленном секторе стала электронная почта. С его помощью злоумышленники доставляют вредоносное ПО под видом различных документов и рассылают электронные письма с вредоносными ссылками, по которым при переходе загружается специальная программа или открываются фишинговые сайты. Алексей Новиков отметил, что зачастую злоумышленникам не нужно ничего ломать, уязвимости в компаниях уже есть.
«Когда нам предстояло восстановить цепочку действий хакеров, было видно, что они получили первый доступ, например, в декабре прошлого года, еще до того, как произошли деструктивные действия в инфраструктуре. Некоторые хакеры говорят, что это был заранее подготовленный доступ. Кто-то перебрал логин и пароль службы удаленного управления, понял, что это за компания, сохранил данные. Потом я увидел объявление в даркнете а-ля «хотим купить доступ к конкретной промышленной организации», передал информацию о разработке атаки. Таким образом, количество объявлений о продаже доступа в 2022 году увеличилось на 40%. Это страшная история. Здесь компаниям поможет только изменение мышления. Вы должны понимать, что это, скорее всего, был взлом, и вы должны разобраться в этом постфактум. Таким образом, даркнет — это платформа, которая позволила хакерам более успешно проводить атаки», — заключил он.
Кстати, основными последствиями взлома стала утечка данных, в том числе данных, относящихся к конфиденциальности и коммерческой тайне. В то же время у многих хакерских группировок за спиной торчат «уши» западных спецслужб.
«Вайперы» идут в атаку
В эксклюзивном комментарии «Эксперту» Алексей Новиков отметил, что в отрасли нет более защищенных отраслей, чем другие. «Есть недостатки во всех сегментах. Опыт работы, к сожалению, показал, что некоторые предприятия в категории промышленности не принимали во внимание безопасность. Особенно, если это средний или малый бизнес, который думает, что его нельзя атаковать. Две недели назад, например, к нам обратилась компания, занимающаяся заготовкой и доставкой леса по всей России. Когда мы спросили, где их ИТ-специалисты, они ответили, что у них нет штатного специалиста по кибербезопасности, хотя у них есть ИТ-служба. То есть они не думали, что могут пострадать. В результате против них было применено шифрование, а это остановка бизнес-процессов, логистики и так далее», — сказал он.
При этом в Positive Technologies убеждены, что основной целью преступников, стоящих за кибератаками на промышленные предприятия в 2023 году, будет не получение финансовой выгоды, крупных выкупов и так далее, а прерывание деятельности, остановка их важнейших технологических процессов и даже спровоцированные извне аварии.
То есть все это уже можно трактовать как полноценную кибердиверсию, если не кибервойну.
«В связи с этим мы прогнозируем появление новых вредоносных программ, нацеленных на промышленные системы, а также более широкое использование «вайперов», приводящих к уничтожению данных на устройствах. Также мы ожидаем появление новых кибершпионских кампаний против промышленных предприятий и топливно-энергетический комплекс». 2023 год будет непростым для отраслевых организаций. Отрасль привлекла значительное внимание не только злоумышленников, но и регуляторов, которые намерены существенно повысить уровень безопасности отрасли. Это в свою очередь потребует активной работы и много ресурсов для обеспечения необходимого уровня безопасности и соответствия новым, повышенным требованиям.Организациям следует изучить свои информационные ресурсы, выявить слабые места и возможные угрозы.В первую очередь необходимо выявить возможные события, неприемлемые для функционирования предприятия, и регулярно проверять такие события на практике с помощью тестирования на проникновение или размещения цифровых двойников на киберполигонах. Из-за тенденции нарушать основную деятельность промышленных организаций с помощью различных вредоносных программ решения для резервного копирования позволят быстро восстановиться, если атака все-таки достигнет своей цели», — заключили в компании.
Больше интересных статей здесь: Технологии.
Источник статьи: Отечественные промышленные предприятия продолжают находиться в зоне риска.