Промышленный сектор остается в зоне повышенного риска кибератак в последние несколько лет: на него приходится 11% всех кибератак в странах СНГ. На промышленность нацелены злоумышленники разных категорий — от продавцов данных на теневых рынках до APT-группировок. Эти данные были представлены в исследовании «Актуальные киберугрозы в странах СНГ 2023–2024» во время Positive Tech Day в Санкт-Петербурге.
В восьми из десяти атак на промышленность (79%) было задействовано вредоносное ПО. В 42% из них использовались инфостилеры (троянское ПО для сбора конфиденциальных данных), в 37% — вредоносное ПО для удаленного управления, в 26% — шифровальщики.
«Основные цели злоумышленников, атакующих производственные предприятия, — промышленный шпионаж, вымогательство денег и нарушение технологических процессов, — отмечает Яна Авезова, старший аналитик исследовательской группы Positive Technologies. — Попытки проникнуть в инфраструктуру совершали 73% APT-группировок, действующих в СНГ. Начальный вектор проникновения чаще всего — это фишинговые письма с вредоносными вложениями. Приманками служат различные служебные документы: фейковые заказы, договоры, счета-фактуры, акты сверки. Иногда киберпреступники проникают через уязвимости на сетевом периметре, как в случае инцидента ИБ в одной российской энергетической компании. Эксперты PT CSIRT выяснили, что злоумышленники использовали уязвимость в шлюзе удаленного доступа к сети».
Шифровальщики нацелены на заводы и транспорт
Промышленные предприятия часто становились жертвами вымогателей — 21% от всех атак шифровальщиков. Недавний заметный инцидент связан с атакой на одно из крупнейших сельскохозяйственных предприятий в России. В апреле 2024 года злоумышленники проникли в инфраструктуру компании, вызвали сбои в работе и потребовали выкуп в размере 500 млн рублей. Наиболее распространенный вектор первоначального проникновения шифровальщиков — компрометация сетевого периметра организации (57%). Прежде всего речь идет об эксплуатации уязвимостей в публичных приложениях, к примеру в почтовых серверах Microsoft Exchange и Zimbra. Помимо того, злоумышленники попадают в инфраструктуру через службы удаленного доступа, используя легитимные учетные данные, приобретенные на теневых площадках.
Более трети (36%) атак шифровальщиков начинаются с фишинговых писем. Так, в I квартале 2024 года группа Werewolves[1] проводила массовые фишинговые кампании, рассылая вредоносные документы под видом досудебных претензий и актов сверок. Письма отправлялись в промышленные, финансовые и телекоммуникационные организации.
По мнению аналитиков Positive Technologies, большинство компаний в странах СНГ укрепляют IT-инфраструктуру выборочно. Для повышения устойчивости бизнеса к кибератакам необходимо придерживаться принципов результативной кибербезопасности: сформировать перечень недопустимых событий и осуществить кибертрансформацию — подготовить IT-инфраструктуру к отражению атак, создать центр мониторинга и противодействия киберугрозам, а также обучить сотрудников основам ИБ. Для анализа трафика в промышленных сетях и выявления действий злоумышленников и активности ВПО можно использовать PT Industrial Security Incident Manager, а также комплексное решение PT Industrial Cybersecurity Suite, которое позволяет обнаруживать злоумышленника на всех этапах развития атаки. Кроме того, следует регулярно проверять уровень киберустойчивости на платформах багбаунти и проводить киберучения.