Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • Исследования
  • Аналитика
  • Актуальные киберугрозы для промышленных организаций: итоги 2022 года

Актуальные киберугрозы для промышленных организаций: итоги 2022 года

Дата публикации 28 февраля 2023
  • Промышленные системы/АСУ ТП

Содержание

  • Статистика атак на промышленные организации
  • Кто и как атакует промышленность
  • Последствия атак на промышленность
  • Заключение и прогнозы

Статистика атак на промышленные организации

Высокая технологичность предприятия и использование различных цифровых сервисов и ПО повышают шансы злоумышленника найти способ проникнуть внутрь и совершить недопустимое для компании событие. На протяжении нескольких лет промышленные организации не выходили из первой пятерки отраслей по количеству киберинцидентов, и 2022 год не стал исключением: почти каждая десятая успешная атака на организации приходилась на промышленные предприятия.

Статистика основана на многочисленных расследованиях и открытых данных как российских, так и зарубежных авторитетных источников.

В своих исследованиях мы используем только данные об успешных кибератаках.

Рисунок 1. Доля атак на промышленные организации (от общего числа атак на организации)

Резкий скачок количества инцидентов в промышленных организациях в 2019 году случился из-за масштабного всплеска активности шифровальщиков. Год 2020-й принес новые вызовы промышленным компаниям: из-за массового перехода сотрудников на удаленную работу традиционно закрытые внутренние системы оказывались доступны извне, если были недостаточно защищены. В 2021–2022 годах стабильно высокий уровень напряженности сохранялся из-за активности шифровальщиков, APT-группировок и противостояния в киберпространстве на фоне обострения геополитической обстановки.

Рисунок 2. Динамика инцидентов (количество по годам)

Всего за 2022 год в промышленных компаниях было зафиксировано 223 инцидента, вызванных атаками злоумышленников, что на 7% больше по сравнению с 2021 годом. Наибольшее количество инцидентов пришлось на II квартал 2022 года — тогда было выявлено 75 успешных атак. Среди атак на организации промышленного сектора 97% являлись целевыми; на атаки APT-группировок пришлось 17% от общего количества инцидентов.

Рисунок 3. Динамика инцидентов (количество по кварталам 2022 года)

Кто и как атакует промышленность

Из успешных атак 87% были направлены на компьютеры, серверы и сетевое оборудование — основные мишени вымогателей. В 44% случаев злоумышленники проводили атаки на персонал промышленных организаций с помощью вредоносных рассылок по электронной почте (94%) и фишинговых сайтов (10%). Направлены на веб-ресурсы (сайты) организаций промышленного сектора были 12% атак.

Рисунок 4. Объекты атак на промышленные организации (доля атак)

В большинстве успешных атак (70%) на промышленные организации злоумышленники применяли вредоносное ПО. Почти в половине кибератак (44%) на промышленность были использованы методы социальной инженерии. Доля атак, в которых эксплуатировались уязвимости ПО, составила 43%.

Рисунок 5. Методы атак на промышленные организации (доля атак)

Вредоносное ПО

Наиболее распространенным типом вредоносных программ стали шифровальщики — две трети атак с использованием ВПО были проведены с их помощью. Тремя наиболее популярными типами программ-вымогателей в промышленной отрасли в 2022 году стали LockBit, BlackCat (ALPHV) и Conti. Все три программы-вымогателя имеют реализацию как для Windows, так и для Linux. Каждый штамм представляет серьезную угрозу для предприятий из любой отрасли, не только из промышленной. К ним нельзя относиться легкомысленно, когда речь идет об обеспечении доступности и конфиденциальности данных.

Рисунок 6. ВПО, используемое в атаках на промышленные организации (доля атак с использованием ВПО)

Трендом 2022 года в атаках на промышленный сектор оказалось применение злоумышленниками вайперов — ПО, удаляющего данные. Такое ПО может приводить к нарушениям технологических процессов и выходу оборудования из строя. Вайперы Meteor и CaddyWiper были популярны в первом квартале 2022 года и активно используются до сих пор. Они могут причинить серьезный вред организациям, удаляя или искажая важные данные, нарушая работу сетей, блокируя доступ к системам или приложениям.

ВПО для удаленного управления было использовано в 23% случаев. Здесь можно выделить распространенные трояны удаленного доступа (RAT) PlugX, Remcos и TRISIS, которые применялись для несанкционированного доступа к корпоративной инфраструктуре. Эти трояны могут использоваться для различных операций в системе: например, кражи конфиденциальных данных, нарушения основной деятельности или установки дополнительных вредоносных программ.

В 15% атак применялись программы для шпионажа. Самым популярным оказался вирус-шпион Agent Tesla, который может использоваться для кражи конфиденциальной информации. Он способен собирать и отправлять на командный сервер такие данные, как нажатия клавиш, снимки экрана и сетевой трафик. Чтобы предотвратить распространение шпионского ПО, организациям важно иметь современную систему антивирусной защиты и регулярно сканировать свои сети на наличие потенциальных угроз. Кроме того, сотрудники должны быть обучены тому, как распознавать подозрительные электронные письма или веб-сайты, которые могут содержать вредоносные ссылки.

Рисунок 7. Способы распространения вредоносного ПО в атаках на промышленные организации

Наиболее популярным каналом социальной инженерии в промышленном секторе стала электронная почта. С ее помощью злоумышленники доставляют вредоносное ПО, маскируя его под различные документы, и рассылают письма с вредоносными ссылками, при переходе по которым загружается ВПО или открываются фишинговые сайты.

Рисунок 8. Каналы социальной инженерии, используемые злоумышленниками в атаках на промышленность

Дарквеб в помощь

Количество доступов к инфраструктуре промышленных организаций, продаваемых в дарквебе, в 2022 году выросло на 40% по сравнению с 2021 годом.

Рисунок 9. Количество продаваемых доступов к промышленным компаниям по годам

В 2022 году доступы составляли 75% от всех объявлений, относящихся к промышленности. Такой перевес объясняется желанием легкого заработка и популярностью этого направления у новичков, которые, получив первоначальный доступ, продают его более квалифицированным злоумышленникам для дальнейшего развития атаки.

Рисунок 10. Темы объявлений на форумах в дарквебе, касающихся промышленных компаний

На теневых форумах встречаются объявления о продаже большого количества доступов к компаниям по различным ценам: они содержат сведения о доходе организации, количестве устройств в сети и уровне привилегий полученного доступа.

Рисунок 11. Объявление о продаже доступов к инфраструктуре промышленных компаний на теневом форуме

Стоимость большинства доступов находится в диапазоне от 500 до 5000 $. Если цена ниже 500 долларов, речь идет о доступе в небольшую компанию с невысоким уровнем привилегий. Низкая стоимость может также говорить о перепродаже доступа или его продаже сразу нескольким лицам. Количество доступов стоимостью более 5000 $ невысоко, такая стоимость может быть оправдана большой доходностью и размером компании, а также высоким уровнем привилегий учетной записи. В некоторых случаях продавец может снизить высокую цену, если видит, что она неактуальна.

Рисунок 12. Количество доступов в дарквебе по отношению к их цене
Рисунок 13. Снижение цены доступа

Если сравнивать количество доступов к компаниям в зависимости от их дохода, то к компаниям с небольшим доходом (до 100 млн $) доступов на теневом рынке больше на 30%. Это обусловлено низким уровнем защищенности таких организаций, что позволяет злоумышленникам с меньшими усилиями получить первоначальный доступ.

Рисунок 14. Доходность компаний, к которым продавался доступ

Группировки, атаковавшие промышленные организации

Рисунок 15. Группировки, атаковавшие промышленные организации в 2022 году

Наибольшую активность в отношении промышленного сектора проявляли группировки вымогателей, в частности LockBit, BlackCat, Cl0p, Conti. Из успешных атак 70% были проведены с использованием вредоносного программного обеспечения, среди которого явными лидерами оказались программы-шифровальщики.

Атаки хактивистов в основном были направлены на нарушение основной деятельности организаций, создание помех в предоставлении сервисов и похищение конфиденциальной информации. Для достижения своих целей киберактивисты проводили массированные DDoS-атаки, взламывали сайты промышленных компаний, похищали деловую переписку компаний с почтовых серверов.

Среди APT-группировок можно выделить Space Pirates, APT31 и ChamelGang. Space Pirates на сегодняшний день наиболее активная из них. С момента публикации нашего отчета в мае 2022 года эта группа продолжает проводить новые атаки. Среди ее целей государственные учреждения, организации авиационно-космической отрасли, энергетики, ВПК, промышленности. Шпионя за компаниями, эта группировка использует в основном следующие инструменты: Deed RAT, MyKLoadClient, Zupdax, RtlShare. Однако в недавнем исследовании мы обнаружили, что она также использует бэкдор ShadowPad, который применяется и другими злоумышленниками азиатского региона. В своих атаках группа использует фишинг и уязвимости в продуктах компаний на внешнем периметре.

Группа APT31 до 2021 года не атаковала объекты в России. Но недавно специалисты PT Expert Security Center первыми выявили такую активность группировки и подготовили об этом подробный отчет. Группа атакует государственные учреждения, СМИ, ТЭК. Ее целью является шпионаж, у нее тоже есть свой набор инструментов, а в качестве контрольных серверов она использует облачные хранилища для обхода сетевых средств обнаружения. В качестве исходного вектора применяется фишинг.

ChamelGang активизировалась в середине 2021 года. Группа начала свои атаки с эксплуатации уязвимости ProxyShell на серверах Exchange по всему миру. Основная ее цель — шпионаж. Для сокрытия ВПО она использует собственные инструменты и нетривиальные техники.

Последствия атак на промышленность

Рисунок 16. Последствия атак на промышленные организации (доля атак)

Общая тенденция переключения злоумышленников на похищение конфиденциальной информации не обошла стороной и промышленный сектор: 56% успешных атак привели к утечкам значимых данных. Наиболее распространенными типами украденных данных стали сведения, содержащие коммерческую тайну, и персональные данные. В 45% случаев атаки привели к нарушению основной деятельности промышленных организаций: из-за атак шифровальщиков становилась недоступной их инфраструктура.

В III квартале особое внимание злоумышленников привлекли организации топливно-энергетического комплекса. Из-за атаки вымогателей BlackCat оказались недоступными клиентские порталы оператора газового трубопровода и электросети Creos Luxembourg. В результате взлома была похищена техническая документация, сведения о контрактах и данные о клиентах оператора. С разницей в несколько дней были совершены атаки на системы итальянского нефтеперерабатывающего гиганта Eni и итальянского энергетического агентства Gestore dei Servizi Energetici. Обе атаки привели к масштабным утечкам конфиденциальной информации, недоступности сервисов и сбоям в обслуживании клиентов.

Рисунок 17. Типы украденных данных

Примеры громких атак на промышленные организации в 2022 году

  • Атака на крупнейшего производителя мясной продукции «Тавр»

    С помощью вредоносного ПО злоумышленникам удалось поразить инфраструктуру компании (серверы, рабочие станции и пр.). Это вызвало нарушение бизнес-процессов организации, что впоследствии вылилось в экономические потери в десятки миллионов рублей.

  • Атака хактивистов на агрохаб «Селятино»

    Злоумышленникам удалось получить доступ к промышленному контроллеру управления холодильным оборудованием и изменить температуру с −24°C до +30°C, что чуть было не привело к порче 400 тыс. тонн замороженной продукции. Сотрудники вовремя заметили атаку и отреагировали на нее.

  • Атака шифровальщика на крупнейший агрохолдинг «Мираторг»

    Из-за атаки шифровальщика ряд компаний холдинга лишился возможности оформлять в электронном виде производственные и транспортные ветеринарные документы, что осложнило реализацию продукции.

  • Атаки шифровальщиков на операторов ветряных турбин Nordex и Deutsche Windtechnik

    Из-за атак компании были вынуждены отключить ИТ-системы и удаленный доступ к управляемым турбинам.

  • Атака шифровальщиков на Junta Administrativa del Servicio Eléctrico de Cartago (JASEC)

    Масштабная атака Conti вывела из строя государственное агентство, управляющее энергетикой в Картаго (Коста-Рика). Группа вымогателей лишила клиентов возможности оплачивать счета за электричество и интернет.

  • Атака на поставщика электроэнергии ECG в Гане

    В результате атаки программы-вымогателя были недоступны сервисы для оплаты и покупки электроэнергии, что вызвало перебои в электроснабжении, а в некоторых областях страны жители несколько дней оставались без электричества.

  • Атака хактивистов на три иранских сталелитейных завода

    В результате крупной атаки были нарушены технологические процессы производства, а на одном из заводов злоумышленникам удалось обрушить ковш с жидким чугуном, что вызвало пожар в цехе. По некоторой информации, в атаке использовалось ПО, удаляющее данные.

  • Атаки на нефтяные компании Oiltanking и Mabanaft, нефтяные терминалы в Бельгии и Нидерландах

    В результате этих атак многие автоматизированные технологические процессы, связанные с загрузкой и разгрузкой резервуаров, были отключены. Компании временно не могли выполнять договорные обязательства. Также были атакованы крупные нефтяные терминалы SEA-Invest в Бельгии и Evos в Нидерландах — эти события повлияли на работу портов во всей Европе и Африке и привели к задержкам в поставках топлива.

Заключение и прогнозы

В текущих реалиях вопрос обеспечения кибербезопасности промышленных предприятий стоит особенно остро. Количество инцидентов остается по-прежнему высоким, злоумышленники реализуют все больше недопустимых событий, которые влияют не только на отдельные организации, но и на целые отрасли.

В 2023 году целями преступников, стоящих за кибератаками на промышленные предприятия, будет не финансовая выгода или получение крупных сумм выкупа, а перебои в деятельности компаний, остановка их важнейших технологических процессов и аварии. В связи с этим мы прогнозируем появление новых вредоносных программ, ориентированных на промышленные системы, а также более широкое применение вайперов, приводящих к уничтожению данных на устройствах. Также мы ожидаем появления новых кампаний кибершпионажа в отношении промышленных предприятий и ТЭК.

2023 год не станет легким для организаций промышленного сектора: к отрасли приковано значительное внимание не только атакующих, но и регуляторов, которые намерены значительно повысить состояние защищенности отрасли. Это, в свою очередь, потребует активной работы и большого объема ресурсов для обеспечения необходимого уровня безопасности и соответствия новым, повышенным требованиям регуляторов.

Множество новых злоумышленников, появившихся в предыдущем году, обратили свое внимание на промышленный сектор. Текущий год не станет исключением в тенденции появления новых игроков.

Организациям стоит изучить свои информационные активы, определить слабые места и возможные угрозы. В первую очередь необходимо определить возможные события, которые недопустимы для функционирования бизнеса, и регулярно проводить верификацию таких событий на практике с помощью тестирования на проникновение или размещения цифровых двойников на киберполигонах. Такой подход поможет выстроить систему комплексной защиты и мониторинга, которые не позволят злоумышленникам нанести ущерб организации и ее клиентам. Из-за тенденции к нарушению основной деятельности промышленных организаций с помощью различного ВПО (шифровальщики, вайперы) решения резервного копирования позволят быстро восстановиться, если атака все-таки достигла своей цели. Важно помнить о влиянии человеческого фактора на успешность кибератак и проводить мероприятия для повышения бдительности и осведомленности в сфере кибербезопасности, а также обучение по противодействию атакам методами социальной инженерии.

Скачать PDF
Статьи по теме
  • 24 августа 2021 Риски ИБ в промышленных компаниях
  • 23 апреля 2018 Промышленные компании: векторы атак
  • 1 февраля 2018 Безопасность АСУ ТП: итоги 2017 года
Поделиться:
Ссылка скопирована
Статьи по теме
1 февраля 2018

Безопасность АСУ ТП: итоги 2017 года

23 апреля 2018

Промышленные компании: векторы атак

24 августа 2021

Риски ИБ в промышленных компаниях

Вернуться к выбору статей
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Согласие на сбор и обработку персональных данных
  • Согласие на получение рассылки рекламно-информационных материалов
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта