Компания Pilz, один из крупнейших производителей средств промышленной автоматизации, была вынуждена отключить большую часть своих систем после атаки шифровальщика BitPaymer. Инцидент затронул все объекты Pilz в 76 странах по всему миру, которые более чем на неделю потеряли связь с основной сетью.

Исследование атаки на компанию Pilz

По данным организации, проблемы начались еще 13 октября. Хотя сами производственные линии не пострадали, рабочие процессы нарушились из-за сбоев в системах обслуживания заказов. Сотрудникам потребовалось три дня, чтобы восстановить работу электронной почты. Доступ к системам доставки продукции появился лишь к 21 октября.

Эксперты связали инцидент с шифровальщиком BitPaymer, который отметился атаками на окружную администрацию в Аляске, компанию Arizona Beverages, французский телеканал M6. Ранее в этом месяце исследователи сообщили, что зловред проникает в корпоративную инфраструктуру через 0-day в утилите Bonjour для iTunes.

Как рассказал журналистам ведущий аналитик FoxIT Маартен ван Данциг (Maarten van Dantzig), после атаки на Pilz на VirusTotal обнаружился дистрибутив BitPaymer с таким же требованием выкупа, какое получили сотрудники промышленного гиганта. Исследователь указал, что нынешний инцидент вписывается в модель поведения шифровальщика — его операторы предпочитают массированным кампаниям охоту на единичные цели. У таких жертв злоумышленники требуют крупные суммы денег — до миллиона долларов.

Связь BitPaymer и Dridex

Аналитики полагают, что BitPaymer могли создать те же люди, которые управляют трояном Dridex. В последние годы шифровальщик использует мощности этого зловреда, чтобы искать жертв, — преступники доставляют Dridex с вредоносным спамом, определяют корпоративных пользователей среди пораженных целей и разворачивают на их машинах вымогательское ПО.

Подобное сотрудничество связывает и других игроков на киберпреступном рынке. Например, шифровальщик Ryuk нередко обнаруживается на компьютерах после атак Emotet и TrickBot.

Таким образом, компаниям, которые столкнулись с вымогателями, необходимо тщательно проверить свою инфраструктуру на присутствие других зловредов. В противном случае преступники могут нанести повторный удар — по словам ван Данцига, такие случаи уже встречались в практике ИБ-экспертов.

Специфика современных угроз промышленности

Как показало недавнее исследование Kaspersky, промышленные компании сталкиваются со все большим давлением со стороны киберпреступников. Об этом говорит тот факт, что в первой половине этого года доля атакованных компьютеров АСУ ТП практически не изменилась по сравнению со вторым полугодием 2018-го. В то же время количество зловредных программ в индустриальных системах за отчетный период выросло на 10%.

В свою очередь, аналитики Европола отметили растущую долю таргетированных кампаний зловредов-шифровальщиков. По словам экспертов, в первой половине этого года в промышленном секторе вдвое увеличилось количество вайперских атак, саботировавших производственные процессы.

Категории: Главное, Хакеры