Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Dragos сообщает о росте интереса к кибератакам на АСУ ТП
Dragos в своем отчете по кибератакам на АСУ ТП отмечает значительный рост интереса в минувшем году к кибератакам на сегмент промышленных систем управления/операционных технологий (ICS/OT). Если раньше киберпреступники мало интересовались проникновением в ICS/OT сети, то в прошедшем году многие стали рассматривать производственные сети в качестве одного из приоритетов кибератак, так как видят насколько болезненными становятся такие атаки для предприятий. По статистике Dragos 25 процентов инцидентов с программами-вымогателями привели к полному отказу промышленных систем управления, а остальные 75 процентов инцидентов привели к частичным сбоям в работе.
Рост угроз кибербезопасности
Отмечается, что снижается барьер для проникновения хакеров в сети ICS/OT, как ввиду разработки нового ВПО, так и отсутствия элементарных правил безопасности в сети, благодаря чему многочисленные группы программ-вымогателей используют устаревшее ВПО и методы и, тем не менее, достигают успеха.
Устаревшее ВПО, которое исторически присутствовало в системах OT продолжает успешно использовать эксплойты из-за неадекватных исправлений, архитектурных недостатков и других факторов, связанных с устаревшими операционными системами.
Синергия источников киберугроз
В прошедшем году наблюдалось растущее сближение интересов между опытными киберпреступниками и хактивистами. Отмечено использование общей инфраструктуры и разведданных для атак на цели ICS/OT. Таким образом преступники могут переключаться между кампаниями, ориентированными на шпионаж, и деструктивными операциями. Хактивисты стали использовать программы-вымогатели в своих атаках, а также проводить атаки, отвлекающие от основных атак опытных киберпреступных группировок.
VPN устройства и уязвимости — угрозы кибербезопасности
С точки зрения методов проникновения в промышленную сеть предприятия, отмечается фокус на использовании удаленных инструментов и сервисов, на них пришлось 50% в атаках вымогателей. В частности VPN устройства, незащищенные уязвимости в гипервизорах и серверы протокола удаленного рабочего стола (RDP)используются для обеспечения первоначального проникновения в сети жертв. Помимо использования уязвимых удаленных сервисов, группы программ-вымогателей также продолжали использовать стратегии Living off the Land, используя собственные административные инструменты. Киберпреступники также используют тактику, основанную на компрометации учетных данных, чтобы обойти многофакторную аутентификацию.
Dragos отмечает, что компоненты сторонних производителей расширяющие, или поддерживающие возможности оборудования и систем ICS/OT, могут иметь уязвимости, которые ставят под угрозу безопасность всего продукта, в который он встроен.
В апреле прошлого года группа вымогателей Bianlian попыталась использовать уязвимость в операционной системе Palo Alto Networks, CVE-2024-3400, в отношении организаций, работающих в сфере водоснабжения и водоотведения, обрабатывающей промышленности и горнодобывающей промышленности во многих регионах. В частности, модуль Siemens RUGGEDCOM APE1808 интегрирует Palo Alto Networks PAN OS в качестве компонента стороннего производителя, соответственно продукт Siemens подвержен той же уязвимости.
Уязвимости в динамически подключаемых библиотеках (DLL), влияющие на промышленное программное обеспечение позволяют обманом заставить приложение загрузить код, созданный злоумышленником.
Рекомендации по проблемам кибербезопасности
Предприятиям рекомендуется обновлять планы реагирования на инциденты ICS/OT, ежегодно проводить профилактический анализ зоны атаки и определять приоритетность сетевых шлюзов и ресурсов периметра, таких как VPN, RDP и SSH-устройств, улучшать видимость и мониторинг, а также фокусировать усилия на обеспечении безопасности удаленного доступа и устранении уязвимостей.
Источник: Dragos