В прошлом году атаки Ransomware настолько распространились на промышленный сектор, что этот тип инцидентов стал угрозой номер один в промышленном секторе.
В 2021 году две группы ransomware, LockBit и Conti, наиболее активно атаковали организации с промышленными системами управления (ICS)/операционными технологиями (OT).
Угроза Ransomware часто встречается в производственном секторе
В сегодняшнем отчете компании Dragos, специализирующейся на промышленной кибербезопасности, подчеркивается, что промышленный сектор стал более привлекательной целью как для финансово мотивированных противников, так и для субъектов, связанных с государственными группами.
Отслеживая активность угроз в промышленном секторе в прошлом году, компания обнаружила резкий рост числа инцидентов с использованием вымогательского ПО, направленных на сети ICS/OT.
Согласно выводам Dragos, наиболее распространенными целями для групп ransomware были предприятия производственного сектора, на долю которых пришлось 211 атак (65%), за ними следуют 35 успешных компрометаций компаний, работающих в сфере производства продуктов питания и напитков, и 27 атак на предприятия транспортного сектора.
Исследователи отмечают, что производственная вертикаль наиболее подвержена атакам, поскольку «этот сектор зачастую наименее развит в плане защиты ОТ».
Обзор безопасности этих компаний выявляет тревожную тенденцию, говорят исследователи, основываясь на данных, собранных во время встреч с клиентами.
Многие организации имеют очень ограниченную видимость инфраструктуры, не могут должным образом сегментировать периметр сети, имеют много устройств с внешним подключением и большой процент общих учетных данных между корпоративной сетью (ИТ) и средой ОТ.
Вышеперечисленные проблемы закладывают основу для успешных атак, позволяя субъектам угроз переходить из ИТ-сети в сегмент ОТ, даже если взлом последнего не является основной целью.
Это позволило угрозе ransomware стать причиной номер один для компрометации в промышленном секторе, отмечают исследователи в отчете.
«Хотя ransomware в основном нацелено на корпоративные ИТ-системы, есть ряд случаев, когда оно воздействует непосредственно на ОТ и в интегрированных ИТ и ОТ средах»
Получив доступ к ИТ-сети для выполнения компонента ransomware, злоумышленники могут переместиться в OT-системы, что позволяет им требовать большие выкупы, нанося больший ущерб.
Атаки LockBit и Conti в секторе ИКС
Среди групп ransomware, атакующих промышленную инфраструктуру, наиболее активными являются LockBit и Conti, на долю которых приходится 51% инцидентов.
По данным Dragos, две группы ransomware ответственны за 166 атак на компании в секторе ИКС, причем на LockBit приходится 103 инцидента, а на Conti — 63.
В 70% всех инцидентов с использованием программ-вымогателей, проанализированных Dragos, объектами атак были предприятия производственного сектора, наиболее пострадавшими подсекторами которого являются металлопродукция, автомобилестроение, пластмассы, технологии и упаковка.
Угрозы программ-вымогателей не снижаются, несмотря на то, что правительства уделяют приоритетное внимание усилиям правоохранительных органов по привлечению к ответственности операторов программ-вымогателей как услуги (RaaS) и их аффилированных лиц.
Драгос полностью уверен, что эта угроза будет продолжать нарушать промышленные операции и среды OT в 2022 году из-за одного из следующих трех факторов:
- Актеры интегрируют процессы уничтожения OT в полезную нагрузку программ-вымогателей
- Операторы отключают среды OT, чтобы предотвратить распространение программ-вымогателей в системы OT из ИТ-сети.
- Принятие упрощенной плоской структуры сети для снижения затрат и усилий по обслуживанию за счет уменьшения количества маршрутизаторов и коммутаторов, что приводит к менее безопасной среде из-за отсутствия сегментации.
Последнее обновление 05.01.2023
