W pierwszej połowie 2020 r. odsetek zaatakowanych systemów w branży naftowo-gazowej oraz automatyzacji budynków odnotował wzrost w porównaniu z pierwszym i drugim półroczem 2019 r. Wzrostowi temu towarzyszył spadek odsetka zaatakowanych komputerów działających w przemysłowych systemach sterowania (ICS) w większości pozostałych branż, gdyż cyberprzestępcy skoncentrowali się na rozprzestrzenianiu bardziej ukierunkowanych zagrożeń.
Ataki na organizacje przemysłowe mogą spowodować ogromne szkody, zarówno jeśli chodzi o zakłócenie produkcji, jak i straty finansowe. Co więcej, stały się one bardziej precyzyjne i są przeprowadzane przez zaawansowane ugrupowania cyberprzestępcze, które posiadają ogromne zasoby, a ich celem są nie tylko zyski finansowe, ale również cyberszpiegostwo.
W okresie obejmującym minioną zimę, wiosnę i wczesne lato wśród branż najbardziej narażonych na ataki znalazła się automatyzacja budynków oraz sektor naftowo-gazowy. Biorąc pod uwagę ogromne straty finansowe poniesione na skutek pandemii, ataki na branżę naftowo-gazową mogą spowodować olbrzymie szkody. Odsetek komputerów przemysłowych, na których zablokowano szkodliwe obiekty, wzrósł z 38% w drugiej połowie 2019 r. do 39,9% w pierwszej połowie 2020 r. w sektorze automatyzacji budynków oraz z 36,3 do 37,8% w branży naftowo-gazowej.
Systemy automatyzacji budynków są ogólnie bardziej podatne na ataki. Często dają cyberprzestępcom większe pole manewru niż tradycyjne komputery funkcjonujące w sieciach przemysłowych, ponieważ zwykle podłączone są do sieci korporacyjnych oraz internetu. Jednocześnie, jako że należą one do wykonawców, systemy te nie zawsze są zarządzane przez zespół odpowiedzialny za korporacyjne bezpieczeństwo IT, co czyni je łatwiejszym celem.
Wzrost odsetka zaatakowanych komputerów ICS w branży naftowo-gazowej można powiązać z pojawieniem się szeregu różnych robaków (szkodliwych programów zdolnych do samodzielnego powielania się na zainfekowanym urządzeniu) napisanych w językach skryptowych, w szczególności takich jak Python oraz PowerShell. Robaki te potrafią gromadzić dane uwierzytelniające z pamięci procesów systemowych przy pomocy różnych wersji narzędzia Mimikatz. W okresie od końca marca do połowy czerwca 2020 r. wykryto dużą liczbę takich robaków, szczególnie w Chinach oraz na Bliskim Wschodzie.
Wzrost odsetka zaatakowanych systemów przemysłowych w branży naftowo-gazowej oraz automatyzacji budynków w pierwszej połowie 2020 r. stanowił wyjątek na tle większości innych sektorów, w których liczba zaatakowanych systemów spadła. Wygląda na to, że cyberprzestępcy odeszli od masowych ataków na rzecz rozprzestrzeniania bardziej precyzyjnych zagrożeń, w tym backdoorów (niebezpiecznych trojanów, które przejmują zdalną kontrolę nad zainfekowanym urządzeniem), oprogramowania szpiegującego (szkodliwych programów stworzonych w celu kradzieży danych) oraz ataków przy użyciu oprogramowania ransomware (wymuszające okup za odblokowanie dostępu do danych i systemów). Istotnie, na komputerach ICS wykryto i zablokowano wyraźnie więcej rodzin backdoorów oraz programów szpiegujących zbudowanych w oparciu o platformę .NET. Odsetek komputerów ICS zaatakowanych przez oprogramowanie ransomware nieznacznie wzrósł w pierwszej połowie 2020 r. w porównaniu z drugą połową 2019 r. we wszystkich branżach. Odnotowano serię ataków z użyciem narzędzi tego typu na placówki lecznicze oraz przedsiębiorstwa przemysłowe.
Przedsiębiorstwa przemysłowe padły również ofiarą wyrafinowanych kampanii przeprowadzanych przez zaawansowane cybergangi.
Odsetek atakowanych komputerów przemysłowych w większości branż odnotowuje spadek. Nie oznacza to jednak braku zagrożeń. Im bardziej ukierunkowane i wyrafinowane ataki, tym większe ryzyko spowodowania znaczących szkód – nawet jeśli szkodliwe działania występują rzadziej. Ponadto, w związku z tym, że wiele przedsiębiorstw zostało zmuszonych do przejścia na pracę zdalną i pracownicy logują się do systemów korporacyjnych z domu, systemy ICS stały się naturalnie bardziej narażone na cyberzagrożenia. Mniej pracowników stacjonarnych oznacza mniej ludzi na miejscu gotowych reagować i łagodzić skutki ataku, a co za tym idzie znacznie poważniejsze konsekwencje. Jako że infrastruktury naftowo-gazowe oraz automatyzacji budynków wydają się popularnym celem cyberprzestępców, niezwykle ważne jest, aby właściciele i operatorzy takich systemów podjęli dodatkowe środki bezpieczeństwa – powiedział Jewgienij Gonczarow, ekspert ds. cyberbezpieczeństwa w firmie Kaspersky.
Więcej informacji na temat krajobrazu cyberzagrożeń przemysłowych dla pierwszej połowy 2020 r. znajduje się na stronie https://r.kaspersky.pl/DZsRY.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają następujące działania pozwalające zabezpieczyć komputery działające w systemach przemysłowych przed różnymi zagrożeniami:
- Regularnie aktualizuj systemy operacyjne oraz aplikacje, które stanowią element sieci przemysłowej przedsiębiorstwa. Stosuj poprawki oraz łaty bezpieczeństwa dla sprzętu sieci ICS, jak tylko zostaną udostępnione.
- Przeprowadzaj regularne audyty bezpieczeństwa systemów operacyjnych w celu zidentyfikowania i wyeliminowania ewentualnych luk w zabezpieczeniach.
- Stosuj rozwiązania służące do monitorowania, analizowania oraz wykrywania ruchu sieci ICS w celu zapewnienia lepszej ochrony przed atakami, które potencjalnie zagrażają procesowi technologicznemu oraz głównym zasobom przedsiębiorstwa.
- Specjalistyczne szkolenie w zakresie bezpieczeństwa ICS przeznaczone dla zespołów ds. bezpieczeństwa IT jest niezwykle istotne dla poprawy reagowania na nowe i zaawansowane szkodliwe techniki.
- Dopilnuj, aby zespół ds. bezpieczeństwa odpowiedzialny za ochronę systemów przemysłowych miał dostęp do aktualnej analizy zagrożeń. Usługa ICS Threat Intelligence Reporting firmy Kaspersky zapewnia szczegółowe dane dotyczące obecnych zagrożeń i wektorów ataków, jak również najbardziej podatnych na ataki elementów w systemach przemysłowych.
- Stosuj rozwiązania bezpieczeństwa przeznaczone dla punktów końcowych oraz sieci przemysłowych, takie jak Kaspersky Industrial CyberSecurity, w celu zapewnienia wszechstronnej ochrony dla wszystkich krytycznych systemów przemysłowych.
- Równie istotna jest ochrona infrastruktury IT. Rozwiązania takie jak Kaspersky Integrated Endpoint Protection chronią korporacyjne punkty końcowe i oferują automatyczne wykrywanie oraz reagowanie na zagrożenia.
Kaspersky