АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

24 декабря 2024

Отчеты Dragos о кибератаках в промышленности

В серии отчетов, посвященным кибератакам в промышленности, Dragos отмечает, что в течение третьего квартала этого года в кибератаках программ-вымогателей наблюдались кардинальные изменения, подчеркивающие их динамичный и постоянно развивающийся характер. В течение третьего квартала кибератаки вредоносных программ-вымогателей активно развивались, благодаря появлению новых групп, ребрендингу, расширению брокерских операций и появлению новых незаконных инструментов. Операторы адаптировались к сбоям, используя технологические достижения и стратегические изменения. Устоявшиеся группы, такие как RansomHub, LockBit3.0 и Play, сохраняли свою известность, в то время как появлялись и новые хакеры.

Производство больше всего страдает от кибератак

Больше всего пострадало производство, где был зафиксирован 71 процент от всех случаев использования программ-вымогателей. 10 процентов пришлось на системы промышленного контроля и инжиниринга, 7% на транспорт, 5% на энергетику и связь, по 2% на нефтегаз и госструктуры.

Ключевыми угрозами в производстве Dragos считает слабую сегментацию сети между ИТ и производственными подразделениями, аутентификацию домена, охватывающую ИТ и АСУ ТП, плохой мониторинг и видимость устройств АСУ ТП, неуправляемые устройства.

Энергетика — атаки на распределенные сети

В электроэнергетике Dragos отмечает три основных угрозы — разработка ВПО, специально для атак на АСУ ТП, атаки на распределенные энергетические ресурсы (DER), рост атак программ вымогателей высшего уровня сложности.

Dragos сообщает о росте уровня сложности угроз и инвестирование в функционал ВПО, специфичный для АСУ ТП. Об этом говорят атаки ELECTRUM на Украине в течение 2022 года и выпуск в 2022 году Pipedream — ВПО, нацеленное на программируемые логические контроллеры и АСУ ТП в целом.

Второй тенденцией кибератак в электроэнергетике Dragos называет использование хакерами децентрализованной и рассредоточенной топологии современного сегмента распределения электроэнергии. Глобальный переход к распределенным энергетическим ресурсам (DER) — децентрализованным модульным источникам энергии, таким как ветер или солнечная энергия, которые могут работать независимо или совместно с основной энергосистемой, создает серьезные проблемы кибербезопасности. Кроме этого, в распределительных сетях происходят технологические сдвиги с внедрением технологий “умной сети”, таких как "умные счетчики" и "умные подстанции", что приводит к появлению новых направлений атак.

Программы-вымогатели по-прежнему представляют серьезную угрозу для электроэнергетического сектора. Компания Dragos отмечает значительный рост числа программ–вымогателей высшего уровня, которые получают или используют уязвимости в общедоступных устройствах или программном обеспечении — тактика, обычно связанная с продвинутыми постоянными угрозами (APT).

Хакеры атакуют компрессоры, насосы и водоочистку

По оценке Dragos, в сегменте водоснабжения, компрессоры, насосы и очистные сооружения, наиболее привлекательны для хакеров, благодаря конвергенции сложных цепочек поставок, экосистем поставщиков, конвергенции информационных и операционных технологий.

Отмечается, что почти 60 процентов выявленных серьезных уязвимостей в системах АСУ ТП, используемых в секторе водоснабжения и водоотведения, связаны с контроллерами, включая программируемые логические контроллеры и преобразователи частоты. Более 90% выявленных уязвимостей в ИТ-системах связаны с системами подключения, такими как виртуальные частные сети (VPN) и средствами удаленного администрирования (RMM).

Разнообразие систем ЦОД — риски для кибербезопасности

Касаясь угроз для центров обработки данных (ЦОД), Dragos отмечает разнообразие экосистемы оборудования, включающую системы управления энергопотреблением, отопления, вентиляции и охлаждения (HVAC), противопожарные системы и системы обеспечения безопасности жизнедеятельности, системы очистки воды, системы автоматизации зданий (BAS), системы физической безопасности и т.д. Управление системами ЦОД часто осуществляется различными поставщиками, интеграторами и менеджерами ЦОД — все они обладают различными уровнями безопасности и у каждого свои контакты со сторонними организациями.

Dragos выявил кибератаку, направленную против поставщиков облачных услуг (CSP), поставщиков управляемых услуг (MSP) и интернет-провайдеров (ISP), которые использовали украденные учетные данные ИТ-персонала ЦОД для обеспечения несанкционированного доступа к устройствам управления.

Отмечается, что ряд кибератак, направленных на ЦОД были связаны с группой WASSONITE, атаки были нацелены на базы данных управления конфигурацией, часто используемые в средах ЦОД. Предполагается, что WASSONITE использовала этот инструментарий для сбора информации и подсчета активов.

Новые группы вымогателей — новые тактики

В течение третьего квартала Dragos наблюдал появление нескольких новых групп программ-вымогателей, воздействующих на промышленные организации, а также появление множества новых тактик первоначального доступа и последующей компрометации, использующих уязвимые удаленные и виртуальные сетевые приложения.

Впервые было обнаружено, что программа-вымогатель Fog нацелена на виртуальные среды и системы резервного копирования, критически важные для промышленных операций. Используя уязвимости в гипервизорах и решениях для резервного копирования, Fog может шифровать файлы виртуальных машин и удалять резервные копии, что значительно осложняет непрерывность работы.

Группы Eldorado и Play, разработали Linux-локеры специально для сред VMware ESXi. Эти локеры шифруют критически важные файлы виртуальных машин, отключая активные виртуальные машины, нарушая бизнес-операции.

В 2024 году продолжила развиваться модель "программы-вымогатели как услуга" (RaaS), все больше полагаясь на брокеров начального доступа (IAB), которые используют уязвимости, неправильные настройки и украденные учетные данные.

Использование удаленных сервисов и приложений для виртуальных сетей было довольно популярным среди операторов программ-вымогателей в третьем квартале. Около 30 процентов инцидентов с программами-вымогателями в третьем квартале были связаны с уязвимостями в устройствах VPN.

Dragos сообщает об интеграции продвинутых вредоносных программ, в которых такие группы, как Black Basta, использовали инструменты бэкдора, такие как SilentNight, утилиты туннелирования, такие как PortYard, и программы для удаления памяти, такие как DawnCry.

Хактивисты используют программы-вымогатели

В третьем квартале 2024 года Dragos наблюдал растущую тенденцию к тому, что группы хактивистов внедряют программы-вымогатели в свою деятельность, что свидетельствует о значительном изменении тактики и потенциальном воздействии. В отличие от традиционных финансово мотивированных кампаний вымогателей, эти участники, уделяют приоритетное внимание оперативному саботажу, создавая явный и потенциально катастрофический риск для критически важной инфраструктуры.

Такие группы, как CyberVolk, Handala и KillSec, использовали программы-вымогатели для усиления разрушений, вызванных их кампаниями, стирая границы между идеологическим хактивизмом и киберпреступниками — вымогателями.

Источник: Dragos

Подпишитесь на рассылку INFOWATCH
l.12-.057c.834-.407 1.663-.812 2.53-1.211a42.414 42.414 0 0 1 3.345-1.374c2.478-.867 5.078-1.427 7.788-1.427 2.715 0 5.318.56 7.786 1.427z" transform="translate(-128 -243)"/>