Аналитики «Лаборатории Касперского» рассказали об угрозах промышленности, наиболее актуальных для первой половины 2019 года. Основная часть вредоносной активности в этот период пришлась на нетаргетированные атаки, при этом каждый десятый инцидент оказался связан с нежелательными веб-ресурсами.

Особенности зловредной активности в январе — июне 2019 года

Всего в отчетный период системы «Лаборатории Касперского» заблокировали в промышленных инфраструктурах около 21 тыс. образцов из 3,3 тыс. семейств. Это несколько больше показателей второго полугодия 2018-го (19,1 тысяч модификаций из 2,7 тысяч семейств). При этом доля атакованных компьютеров АСУ (41,2%) фактически не изменилась ни год к году, ни по сравнению с прошлым аналогичным периодом.

Список стран с наибольшей долей атакованных компьютеров АСУ возглавляют Алжир (69%), Боливия (68%), Вьетнам (68%), Тунис (65%) и Марокко (62%). Наиболее благополучными оказались Гонконг, Ирландия и Сингапур — здесь инциденты были зарегистрированы соответственно на 7%, 10% и 15% целевых машин. Аналитики напомнили, что эти данные подтверждают обнаруженную ранее корреляцию между уровнями ВВП и безопасности предприятий.

Эксперты указали, что защищенность промышленных сетей зависит от многих условий. Это и непосредственно защитные меры, и установленные практики работы с общекорпоративными ресурсами, и осведомленность персонала о киберугрозах.

Доли атакованных машин АСУ в разных отраслях промышленности

Доли атакованных машин АСУ в разных отраслях промышленности

Основную часть атак обеспечивают те же зловреды, которые атакуют корпоративные инфраструктуры. Хотя такие программы не предназначены для промышленных компьютеров, они все же могут вызвать проблемы в специализированной инфраструктуре, если откроют преступникам доступ к управлению машиной, позволят установить стороннее ПО или доберутся до критически важных данных. Эксперты выделили среди таких зловредов майнеры (в отчетный период спровоцировали 2,9% общей вредоносной активности), червей (7,1%), шпионские программы (3,7%).

Инструменты направленных атак на промышленность

В отдельных случаях обнаруженные в инфраструктуре зловреды позволили аналитикам сделать вывод о направленном характере атак. Список таких специфических образцов включает:

Шпион AgentTesla. Троян используют для кражи данных аутентификации, создания снимков экрана, перехвата ввода на клавиатуре и скрытой записи с веб-камеры. Функция самостоятельного удаления позволяет шпиону исчезнуть с пораженного компьютера по завершении задачи. Чаще всего жертвы получают AgentTesla через фишинговые рассылки.

Бэкдор Meterpreter. Изначально легитимная утилита позволяет взломщикам удаленно управлять машинами в технологических сетях энергосистем. Произвольное вредоносное ПО загружается непосредственно в исполняемую память целевого компьютера, благодаря чему атака может подолгу оставаться незамеченной. Чаще всего кампании Meterpreter проводятся в ручном режиме.

Червь Syswin. Вайпер распространяется самостоятельно через сетевые папки и съемные носители, которые подключаются к зараженному компьютеру. При запуске червь прописывается в автозагрузке и устанавливает пометку «к удалению» всем обнаруженным на дисках исполняемым файлам. При следующем запуске системы они стираются, и компьютер оказывается неработоспособен. Зловред умеет стирать данные и со съемных носителей, принудительно устанавливая для файлов нулевой размер.

Ключевые кибератаки на промышленность в первом полугодии 2019 года

Исследователи выделили несколько инцидентов, которые оказались наиболее заметными в отчетный период. Сразу несколько громких атак оказались связаны с шифровальщиками, из которых самым активным был LockerGoga. От него пострадали предприятия Norsk Hydro, а также американские химические производители Hexion и Momentive. Другой вымогатель вывел из строя корпоративные системы комбината Nyrsta в Бельгии. Инцидент затронул сети в штаб-квартире компании и на производственных объектах по всему миру.

Российские компании также столкнулись с вымогателями. В апреле специалисты Kaspersky помогли восстановить данные на предприятии «Одинцовский Водоканал». Злоумышленники проникли в инфраструктуру через незащищенное RDP-подключение и взломали пользовательский пароль. Им удалось удаленно подобрать пароль от учетной записи и авторизоваться в системе.

Установленный далее зловред зашифровал данные на жестком диске и в сетевых папках. Сотрудники компании не поддались на шантаж и привлекли экспертов к восстановлению информации.

Среди других инцидентов аналитики выделили апрельскую кибератаку на японскую компанию HOYA. Из-за действий преступников крупный завод по производству оптического оборудования в течение трех дней работал с ограничениями. Причиной инцидента стал зловред, который похитил пользовательские учетные данные и попытался развернуть майнер.

Сотрудники обнаружили вмешательство, только когда у одного из управляющих серверов заметно упала производительность. Последствия атаки почувствовали пользователи в штаб-квартире, где сбой заблокировал возможность выписывать счета-фактуры.

Категории: Аналитика, Главное