В 2024 году злоумышленники выбрали новые векторы атак на автоматизированные системы управления техпроцессами (АСУ ТП) – самым популярным способом проникновения в инфраструктуру стала компрометация учетных данных. К такому выводу пришли в экспертно-аналитическом центра (ЭАЦ) InfoWatch в ходе исследования «Тенденции развития киберинцидентов АСУ ТП за 2024 год». Чаще всего объектами атак становятся машиностроительные, транспортные и производственные предприятия, а также компании из сферы энергетики.
Одна из важных тенденций по итогам нескольких последних лет, которую отмечают авторы исследования, – это изменение вектора атак на АСУ ТП. В 2020 году злоумышленники для проникновения в инфраструктуру чаще всего использовали внешние устройства (24% случаев), фишинг (22%) и устройства удаленного доступа (14%). По итогам 2024 года самым распространенным инструментом стала компрометация учетных данных (20%), атаки на цепочки поставок (15%) и устройства с доступом к интернету (13%). Точкой проникновения в инфраструктуру предприятия чаще всего становятся инженерные рабочие станции (30% атак), SCADA-серверы (25%) и программируемые логические контроллеры (ПЛК, 21%).
Интенсивность и продолжительность атак заметно возросла, указывают аналитики, – за последние два года количество киберинцидентов АСУ ТП в России выросло на 160%, это значительно выше общемирового показатель за тот же период (17%).
Что касается вредоносного ПО, которое используют при атаках, то здесь лидируют трояны-вымогатели, в том числе удаленного доступа – на них суммарно приходится более 70% всех инцидентов. При этом авторы исследования отмечают, что разработчики программ-вымогателей применяют все более сложные алгоритмы шифрования, улучшенные методы бокового перемещения внутри сетей и более эффективные механизмы уклонения от обнаружения. Нередко вредоносы пишутся специально для атаки на конкретное предприятие, с учетом особенностей построения его инфраструктуры.
Чаще всего злоумышленники атакуют машиностроительные предприятия – на них пришлось 38% от общего числа атак за 2024 год в России и 32% в мире, подсчитали эксперты ЭАЦ InfoWatch. На втором месте транспортная отрасль (24% и 28% соответственно), на третьем производственные предприятия и добыча (19% и 22%), на четвертом компании сферы энергетики (19% и 18%).
Количество целенаправленных атак на машиностроение за последние пять лет заметно выросло, аналогичная тенденция и в производственной сфере – пищевой, нефтеперерабатывающей и нефтехимической промышленности, металлургии, фармацевтике, отмечают авторы отчета. Число атак на сектор энергетики тоже выросло, что в первую очередь связано с усилением геополитической напряженности.
Любопытна и еще одна тенденция – в 2024 году в киберпространстве чаще стали действовать классические организованные преступные группировки, которые таким образом расширили сферу своей деятельности. В том числе с этим связан рост атак на машиностроение и производственный сектор – собственники несут значительные убытки от остановки производства, и это часто заставляет их платить выкуп вымогателям.
«Самыми привлекательными для киберпреступников являются распределенные структуры – энергетические, транспортные, а также компании с удаленными площадками. Самые уязвимые места промышленных предприятий – слабая сегментация сетей, то есть отсутствие разделения между корпоративными и промышленными сетями, аутентификация домена, охватывающая ИТ и АСУ ТП, плохой мониторинг и видимость устройств АСУ ТП, неуправляемые устройства», – отмечает главный аналитик ЭАЦ InfoWatch Сергей Слепцов.
Возможное снижение геополитической напряженности окажет незначительное влияние на тенденции, наметившиеся в последние три года. Поэтому главной задачей служб ИБ будет построение надежной и устойчивой системы защиты производственной инфраструктуры, прогнозируют эксперты.
В рамках исследования аналитики использовали собственные данные экспертно-аналитического центра ГК InfoWatch по инцидентам АСУ ТП в России и мире, а также информацию из открытого доступа более чем от:
1000 сотрудников Администрации города Иванова начали пользоваться российской почтовой системой RuPost.
С 5 марта в Москве фиксируются масштабные перебои в работе мобильного интернета и голосовой связи.
Министерство обороны США внесло компанию-разработчика ИИ Anthropic в список неблагонадёжных поставщиков и намерено в течение полугода полностью заменить её решения на альтернативные.
Опрос об использовании искусственного интеллекта в профессиональной деятельности россиян показал, что нейросети уже выходят за рамки экспериментов и становятся частью повседневной работы.
Исследователи зафиксировали инцидент, в ходе которого ИИ-агент крупной технологической компании без каких-либо инструкций от создателей развернул майнинг криптовалюты на выделенных серверных мощностях.
Редакторы Википедии обнаружили, что массовое использование нейросетей для перевода статей на другие языки приводит к появлению в энциклопедии фактических ошибок и ложных ссылок.
Минцифры предложило онлайн-кинотеатрам новую схему передачи данных о пользовательской активности исследовательской компании Mediascope.
Редакция Cyber Media собрала все ключевые события этой недели.
Исследователи обнаружили, что в Android-клиенте мессенджера Max есть встроенный модуль, который проверяет доступность серверов Telegram и WhatsApp*, определяя IP-адрес пользователя через сторонние сервисы и фиксируя использование VPN.
Компания RED Security провела анализ состояния DDoS-угроз в России за 2025 год.
