В России в два раза выросла доля атакованных систем промышленной автоматизации в транспортно-логистической отрасли

В первом полугодии 2022 года доля компьютеров АСУ* в транспорте и логистике, на которых были заблокированы вредоносные объекты, выросла почти в два раза по сравнению со вторым полугодием 2021 года — с 17,9% до 34,1%**.

Чем обусловлен рост. Почти в два раза выросла доля компьютеров АСУ, на которых были обнаружены угрозы из интернета — с 8,9% во втором полугодии 2021 до 16,5% в первом полугодии 2022. В частности, увеличились доли компьютеров АСУ, на которых были заблокированы программы-шпионы и ПО для скрытого майнинга криптовалют, — с 0,9% до 8,2% и 5,3% соответственно.

Какие интернет-угрозы встречались чаще всего. Два типа опасных веб-ресурсов. С помощью первого злоумышленники распространяли шпионское ПО и криптомайнеры, которые в большинстве случаев были замаскированы под взломанное легитимное ПО или программы для обхода лицензионных ограничений. С помощью второго они доставляли вредоносные скрипты, также предназначенные для заражения компьютеров различным вредоносным ПО, в том числе шпионским ПО и криптомайнерами.

Почему такой всплеск криптомайнеров и шпионского ПО. Это объясняется не только наличием незащищённого доступа в интернет. Попытки заражения компьютеров АСУ криптомайнерами могли быть следствием автоматизированных атак на уязвимые веб-сервисы транспортно-логистических организаций, доступные из интернета. В случае успешной атаки уязвимые сервисы чаще всего заражаются криптомайнерами.

Как распространяются криптомайнеры. Они используют вредоносные скрипты, в которых реализованы различные техники самораспространения внутри сети — от перебора паролей до кражи и переиспользования данных аутентификации администраторов. В итоге атаке подвергаются все доступные в локальной сети компьютеры организации.

Как распространяется шпионское ПО в локальной сети. Схожим образом, но в отличие от криптомайнеров операторы шпионского ПО часто работают в полуручном режиме. Они исследуют заражённые системы, собирают данные об организации, компьютере, сети и пользователе. Это позволяет им продвигаться внутри сети значительно эффективнее с минимальным риском обнаружения.

«Угрозы для компьютеров АСУ в транспортной и логистической отраслях в целом те же, что и в других сферах. И, как и в других промышленных секторах, основная проблема информационной безопасности — отсутствие эффективной изоляции технологической сети от корпоративной. Ещё одна проблема — то, что друг от друга не изолированы различные сегменты технологической сети, в том числе на уровне контроля прав доступа. Злоумышленники, получая доступ к одному компьютеру, могут получить контроль над всей сетью», — комментирует Кирилл Круглов, эксперт Kaspersky ICS CERT.

Для защиты компьютеров АСУ от киберугроз «Лаборатория Касперского» рекомендует:

• регулярно обновлять операционные системы и приложения в составе ОТ-инфраструктуры, и устанавливать патчи сразу, как только они выходят;
• регулярно проводить аудит безопасности ОТ-систем для своевременного распознавания и устранения проблем безопасности;
• использовать решения для мониторинга сетевого трафика компьютеров АСУ, анализа и детектирования киберугроз для наиболее эффективной защиты от атак, потенциально угрожающих технологическому процессу и главным активам предприятия;
• проводить тренинги для ИБ-специалистов и ОТ-инженеров, чтобы улучшать качество реагирования на различные, в том числе новые и продвинутые, вредоносные техники;
• предоставлять специалистам, ответственным за защиту АСУ, современные средства аналитики киберугроз. Сервис ICS Threat Intelligence Reporting аккумулирует данные о текущих киберугрозах и векторах атак, а также о наиболее уязвимых элементах в ОТ и о том, как повысить их устойчивость;
• использовать защитные решения для конечных устройств ОТ и сетей, такие как Kaspersky Industrial CyberSecurity, чтобы обеспечить безопасность всех критически важных промышленных систем;
• ограждать от киберугроз IT-инфраструктуру.  Интегрированные продукты для защиты конечных устройств предоставляют возможности для детектирования киберугроз и реагирования на них.

О Kaspersky ICS CERT

Kaspersky Industrial Systems Emergency Response Team — глобальный проект «Лаборатории Касперского», нацеленный на координацию действий производителей систем автоматизации, владельцев и операторов промышленных объектов, исследователей информационной безопасности при решении задач защиты промышленных предприятий и объектов критически важных инфраструктур. Эксперты Kaspersky ICS CERT предоставляют аналитические данные о киберугрозах и уязвимостях в информационных системах, а также делятся экспертизой в области соответствия законодательным нормам. Узнать больше можно на сайте  https://ics-cert.kaspersky.ru/.

* Серверы управления и сбора данных (SCADA), серверы хранения данных, шлюзы данных, стационарные рабочие станции инженеров и операторов, мобильные рабочие станции инженеров и операторов, компьютеры, используемые для администрирования технологических сетей, и компьютеры, используемые для разработки ПО для систем промышленной автоматизации.

** По данным Kaspersky ICS CERT.