Число доступов к инфраструктуре организаций из этой сферы, выставленных в 2022 году на продажу в дарквебе, выросло с 86 до 122 — более чем на 40%. Доступы составляют 75% всех объявлений, относящихся к промышленности, а их стоимость обычно колеблется от 500 до 5000 $. Индустриальный сектор привлекает легким заработком даже малоквалифицированных киберпреступников: они получают первоначальный доступ, а затем продают его более компетентным злоумышленникам для дальнейшего развития атаки. Презентация исследования состоялась на форуме «Цифровая устойчивость и информационная безопасность России», проходившем в Магнитогорске.
Всего за 2022 год в промышленных компаниях было зафиксировано 223 инцидента, вызванных атаками злоумышленников, что на 7% больше, чем в 2021 году . Больше всего инцидентов (75) пришлось на II квартал 2022 года. Почти все атаки (97%) на организации этого сектора были целевыми.
Активнее всего промышленность атаковали группировки вымогателей (в первую очередь такие, как LockBit, BlackCat, Cl0p и Conti), хактивисты, а также APT-группировки, самыми деятельными среди которых оказались Space Pirates, APT31 и ChamelGang. Атаки хактивистов были нацелены прежде всего на нарушение основной деятельности, создание помех в предоставлении услуг и кражу конфиденциальной информации. Для этого они проводили массированные DDoS-атаки, взламывали сайты и похищали деловую переписку компаний.
Основная часть успешных атак (87%) в промышленности была направлена на компьютеры, серверы и сетевое оборудование. В 44% случаев злоумышленники проводили атаки на персонал промышленных компаний с помощью вредоносных рассылок по электронной почте (94%) и фишинговых сайтов (10%). 12% атак были направлены на сайты организаций этого сектора.
В большинстве атак (70%) на промышленные предприятия злоумышленники применяли вредоносное ПО, почти в половине (44%) — методы социальной инженерии, а еще в 43% случаев эксплуатировали уязвимости ПО. Наиболее распространенным типом вредоносов стали шифровальщики: их использовали в двух из трех атак с ВПО. Далее следуют ВПО для удаленного управления (23% атак) и программы для шпионажа (15% случаев). Трендом 2022 года оказалось применение в атаках на промышленный сектор вайперов (ПО, которое удаляет данные на устройстве). Это могло привести к нарушениям технологических процессов и выходу оборудования из строя.
Вопрос обеспечения кибербезопасности промышленных предприятий сегодня стоит особенно остро. Число инцидентов остается высоким, злоумышленники реализуют все больше недопустимых событий, которые влияют не только на конкретную организацию, но и на всю отрасль или даже на целый ряд отраслей. В 2023 году киберпреступники будут атаковать промышленность не только ради финансовой выгоды, но и с целью остановки важнейших технологических процессов и организации аварий. В этой связи мы прогнозируем новые кампании кибершпионажа в отношении промпредприятий и ТЭК, а также более широкое применение вайперов.
Алексей Новиков,
директор экспертного центра безопасности Positive Technologies (PT Expert Security Center).
Не обошла стороной промышленность и общая тенденция переключения злоумышленников на хищение конфиденциальной информации: 56% всех успешных атак в этой сфере привели к утечкам, которые в первую очередь затронули сведения, содержащие коммерческую тайну и персональные данные.
Чтобы промышленные организации смогли выстроить систему комплексной защиты и оградить себя и своих клиентов от серьезного ущерба в результате атак злоумышленников, им нужно прежде всего изучить собственные информационные активы, определить слабые места и потенциальные недопустимые для бизнеса события. Возможность возникновения таких событий, а также сценарии их реализации необходимо проверять на регулярной основе: проводить тесты на проникновение или изучать возможности атакующих с помощью цифровых двойников на экспериментальных полигонах. Результативная кибербезопасность — это комплексный подход и технические решения, которые позволяют обеспечивать сквозную защиту всей ИТ-инфраструктуры предприятий, ее корпоративных и технологических сегментов с учетом специфики производственной деятельности и бизнес-процессов.
Дмитрий Даренский,
руководитель практики промышленной кибербезопасности Positive Technologies.
Предотвратить кибератаки, которые могут привести к реализации недопустимых событий на промышленном предприятии, возможно только при комплексном подходе. В первую очередь, надо определиться, что и от чего необходимо защитить, какие события являются недопустимыми и какая стратегия гарантированно обезопасит от их реализации. И только после этого выбирать техническое решение. Консалтинговые услуги помогут предприятию понять свои недопустимые события и стратегию защиты. Выявить злоумышленника до того, как он реализовал недопустимое событие, обнаружить вредоносное ПО и опасные действия пользователей или своевременно найти и закрыть уязвимость в системах управления производством можно, используя платформу промышленной кибербезопасности PT Industrial Cybersecurity Suite (PT ICS). В ее основе находятся продукты MaxPatrol SIEM, PT Sandbox, PT XDR, которые позволяют решать задачи безопасности в технологических и корпоративных сегментах ИТ-инфраструктуры промышленных предприятий.