В 2024 году злоумышленники выбрали новые векторы атак на автоматизированные системы управления техпроцессами (АСУ ТП) – самым популярным способом проникновения в инфраструктуру стала компрометация учетных данных.
К такому выводу пришли в экспертно-аналитическом центра (ЭАЦ) InfoWatch в ходе исследования «Тенденции развития киберинцидентов АСУ ТП за 2024 год». Чаще всего объектами атак становятся машиностроительные, транспортные и производственные предприятия, а также компании из сферы энергетики.
Кража учетных данных сменила фишинг
Одна из важных тенденций по итогам нескольких последних лет, которую отмечают авторы исследования, – это изменение вектора атак на АСУ ТП. В 2020 году злоумышленники для проникновения в инфраструктуру чаще всего использовали внешние устройства (24% случаев), фишинг (22%) и устройства удаленного доступа (14%). По итогам 2024 года самым распространенным инструментом стала компрометация учетных данных (20%), атаки на цепочки поставок (15%) и устройства с доступом к интернету (13%). Точкой проникновения в инфраструктуру предприятия чаще всего становятся инженерные рабочие станции (30% атак), SCADA-серверы (25%) и программируемые логические контроллеры (ПЛК, 21%).
Интенсивность и продолжительность атак заметно возросла, указывают аналитики, – за последние два года количество киберинцидентов АСУ ТП в России выросло на 160%, это значительно выше общемирового показатель за тот же период (17%).
Что касается вредоносного ПО, которое используют при атаках, то здесь лидируют трояны-вымогатели, в том числе удаленного доступа – на них суммарно приходится более 70% всех инцидентов. При этом авторы исследования отмечают, что разработчики программ-вымогателей применяют все более сложные алгоритмы шифрования, улучшенные методы бокового перемещения внутри сетей и более эффективные механизмы уклонения от обнаружения. Нередко вредоносы пишутся специально для атаки на конкретное предприятие, с учетом особенностей построения его инфраструктуры.
Индустрии и устройства в зоне риска
Чаще всего злоумышленники атакуют машиностроительные предприятия – на них пришлось 38% от общего числа атак за 2024 год в России и 32% в мире, подсчитали эксперты ЭАЦ InfoWatch. На втором месте транспортная отрасль (24% и 28% соответственно), на третьем производственные предприятия и добыча (19% и 22%), на четвертом компании сферы энергетики (19% и 18%).
Количество целенаправленных атак на машиностроение за последние пять лет заметно выросло, аналогичная тенденция и в производственной сфере – пищевой, нефтеперерабатывающей и нефтехимической промышленности, металлургии, фармацевтике, отмечают авторы отчета. Число атак на сектор энергетики тоже выросло, что в первую очередь связано с усилением геополитической напряженности.
Любопытна и еще одна тенденция – в 2024 году в киберпространстве чаще стали действовать классические организованные преступные группировки, которые таким образом расширили сферу своей деятельности. В том числе с этим связан рост атак на машиностроение и производственный сектор – собственники несут значительные убытки от остановки производства, и это часто заставляет их платить выкуп вымогателям.
«Самыми привлекательными для киберпреступников являются распределенные структуры – энергетические, транспортные, а также компании с удаленными площадками. Самые уязвимые места промышленных предприятий – слабая сегментация сетей, то есть отсутствие разделения между корпоративными и промышленными сетями, аутентификация домена, охватывающая ИТ и АСУ ТП, плохой мониторинг и видимость устройств АСУ ТП, неуправляемые устройства», – отмечает главный аналитик ЭАЦ InfoWatch Сергей Слепцов.
Возможное снижение геополитической напряженности окажет незначительное влияние на тенденции, наметившиеся в последние три года. Поэтому главной задачей служб ИБ будет построение надежной и устойчивой системы защиты производственной инфраструктуры, прогнозируют эксперты.
В рамках исследования аналитики использовали собственные данные экспертно-аналитического центра ГК InfoWatch по инцидентам АСУ ТП в России и мире, а также информацию из открытого доступа более чем от:
• 160 вендоров ИБ ICS/OT (АСУ ТП),
• 32 аналитических и консалтинговых компаний,
• 43 промышленных ассоциаций,
• 65 информационных агентств в сфере информационных и операционных технологий.
Оригинал публикации на сайте CISOCLUB: "От фишинга к компрометации данных: новый вектор атак на АСУ ТП".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.