Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Доля атакованных компьютеров остается неизменной на фоне роста общего числа ИБ-инцидентов.
Аналитики «Лаборатории Касперского» рассказали об угрозах промышленности, наиболее актуальных для первой половины 2019 года. Основная часть вредоносной активности в этот период пришлась на нетаргетированные атаки, при этом каждый десятый инцидент оказался связан с нежелательными веб-ресурсами.
Всего в отчетный период системы «Лаборатории Касперского» заблокировали в промышленных инфраструктурах около 21 тыс. образцов из 3,3 тыс. семейств. Это несколько больше показателей второго полугодия 2018-го (19,1 тысяч модификаций из 2,7 тысяч семейств). При этом доля атакованных компьютеров АСУ (41,2%) фактически не изменилась ни год к году, ни по сравнению с прошлым аналогичным периодом.
Список стран с наибольшей долей атакованных компьютеров АСУ возглавляют Алжир (69%), Боливия (68%), Вьетнам (68%), Тунис (65%) и Марокко (62%). Наиболее благополучными оказались Гонконг, Ирландия и Сингапур — здесь инциденты были зарегистрированы соответственно на 7%, 10% и 15% целевых машин. Аналитики напомнили, что эти данные подтверждают обнаруженную ранее корреляцию между уровнями ВВП и безопасности предприятий.
Эксперты указали, что защищенность промышленных сетей зависит от многих условий. Это и непосредственно защитные меры, и установленные практики работы с общекорпоративными ресурсами, и осведомленность персонала о киберугрозах.
Основную часть атак обеспечивают те же зловреды, которые атакуют корпоративные инфраструктуры. Хотя такие программы не предназначены для промышленных компьютеров, они все же могут вызвать проблемы в специализированной инфраструктуре, если откроют преступникам доступ к управлению машиной, позволят установить стороннее ПО или доберутся до критически важных данных. Эксперты выделили среди таких зловредов майнеры (в отчетный период спровоцировали 2,9% общей вредоносной активности), червей (7,1%), шпионские программы (3,7%).
В отдельных случаях обнаруженные в инфраструктуре зловреды позволили аналитикам сделать вывод о направленном характере атак. Список таких специфических образцов включает:
Шпион AgentTesla. Троян используют для кражи данных аутентификации, создания снимков экрана, перехвата ввода на клавиатуре и скрытой записи с веб-камеры. Функция самостоятельного удаления позволяет шпиону исчезнуть с пораженного компьютера по завершении задачи. Чаще всего жертвы получают AgentTesla через фишинговые рассылки.
Бэкдор Meterpreter. Изначально легитимная утилита позволяет взломщикам удаленно управлять машинами в технологических сетях энергосистем. Произвольное вредоносное ПО загружается непосредственно в исполняемую память целевого компьютера, благодаря чему атака может подолгу оставаться незамеченной. Чаще всего кампании Meterpreter проводятся в ручном режиме.
Червь Syswin. Вайпер распространяется самостоятельно через сетевые папки и съемные носители, которые подключаются к зараженному компьютеру. При запуске червь прописывается в автозагрузке и устанавливает пометку «к удалению» всем обнаруженным на дисках исполняемым файлам. При следующем запуске системы они стираются, и компьютер оказывается неработоспособен. Зловред умеет стирать данные и со съемных носителей, принудительно устанавливая для файлов нулевой размер.
Исследователи выделили несколько инцидентов, которые оказались наиболее заметными в отчетный период. Сразу несколько громких атак оказались связаны с шифровальщиками, из которых самым активным был LockerGoga. От него пострадали предприятия Norsk Hydro, а также американские химические производители Hexion и Momentive. Другой вымогатель вывел из строя корпоративные системы комбината Nyrsta в Бельгии. Инцидент затронул сети в штаб-квартире компании и на производственных объектах по всему миру.
Российские компании также столкнулись с вымогателями. В апреле специалисты Kaspersky помогли восстановить данные на предприятии «Одинцовский Водоканал». Злоумышленники проникли в инфраструктуру через незащищенное RDP-подключение и взломали пользовательский пароль. Им удалось удаленно подобрать пароль от учетной записи и авторизоваться в системе.
Установленный далее зловред зашифровал данные на жестком диске и в сетевых папках. Сотрудники компании не поддались на шантаж и привлекли экспертов к восстановлению информации.
Среди других инцидентов аналитики выделили апрельскую кибератаку на японскую компанию HOYA. Из-за действий преступников крупный завод по производству оптического оборудования в течение трех дней работал с ограничениями. Причиной инцидента стал зловред, который похитил пользовательские учетные данные и попытался развернуть майнер.
Сотрудники обнаружили вмешательство, только когда у одного из управляющих серверов заметно упала производительность. Последствия атаки почувствовали пользователи в штаб-квартире, где сбой заблокировал возможность выписывать счета-фактуры.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |