Согласно исследованию аналитиков информационной безопасности компании Positive Technologies, число доступов к ИТ-инфраструктуре промышленных предприятий, выставленных в 2022 году на продажу в теневом сегменте интернета, выросло более чем на 40%.
Стоимость большинства "лотов" находится в диапазоне от 500 до 5000 долларов. За 500 долларов предлагается доступ к ИТ-системам небольших компаний с невысоким уровнем административных прав. Также низкая стоимость может также говорить о перепродаже доступа сразу нескольким лицам. Количество доступов стоимостью более $5000 невысоко - такая цена соответствует взлому крупной компании с большой доходностью и высоким уровнем прав.
Изучение предложений в дарквебе показывает, что наибольшее количество предприятий, подвергшихся взлому, - это компании с небольшим доходом и невысоким уровнем защищенности своей ИТ-инфраструктуры.
Аналитики Positive Technologies проанализировали последствия успешных атак на промышленные предприятия и объекты ТЭК в 2022 году (топливно-энергетического комплекса). В 56% случаев это была утечка конфиденциальных данных, в 45% - нарушение основной деятельности предприятия. 8% составили прямые финансовые потери и 6% - ущерб интересам государства.
По мнению авторов исследования, наиболее громкими киберинцидентами на сельскохозяйственных и промышленных предприятиях, а также объектах ТЭК в прошлом году стали: атака на крупнейшего производителя мясной продукции "Тавр", которая вызвала нарушение бизнес-процессов организации и вылилась в экономические потери в десятки миллионов рублей.
Кроме того, мощной атакой стал взлом хактивистами агрохаба "Селятино". Злоумышленникам удалось получить доступ к промышленному контроллеру управления холодильным оборудованием и изменить температуру с -24°C до +30°C, что чуть было не привело к порче 400 тыс. тонн замороженной продукции.
Серьезная атака произошла на агрохолдинг "Мираторг". В результате ряд компаний холдинга лишился возможности оформлять в электронном виде производственные и транспортные ветеринарные документы, что осложнило реализацию продукции.
Серьезным инцидентом стал взлом трех иранских сталелитейных заводов. В результате были нарушены технологические процессы производства, а на одном из заводов хакерам удалось обрушить ковш с жидким чугуном, что вызвало пожар в цехе. По некоторой информации, хактивисты использовали программу вайпер, удаляющую данные.
В результате успешной кибератаки операторы ветряных турбин Nordex и Deutsche Windtechnik были вынуждены отключить ИТ-системы и удаленный доступ к управляемым турбинам.
Представители российской промышленности также отмечают увеличение количества кибератак на объекты промышленной инфраструктуры и фиксируют изменение вектора атак. "Если ранее подавляющее большинство атак было нацелено на кражу конфиденциальной и коммерческой информации, то сейчас основная цель злоумышленников - приостановка деятельности предприятия и/или отказ информационных систем в обслуживании", - говорит директор департамента информационной безопасности и специальных решений Sitronics Group, Александр Дворянский.
По мнению топ-менеджера Sitronics Group, основные риски для промышленных предприятий на текущий момент - это программы, шифрующие всю ИТ-инфраструктуру компании с целью получения выкупа. Так как каждый час простоя предприятия приводит к прямым финансовым убыткам, у злоумышленников появляется возможность требовать большой выкуп.
Несмотря на то, что в 2022 году большая часть взломов промышленных предприятий носила коммерческий характер - 65% злоумышленников использовало программы-шифровальщики с последующим требованием выкупа за расшифровку данных, эксперты отмечают, что в 2023 году ситуация может измениться. По их мнению, вырастет роль хактивизма - использования нелегальными способами информационных технологий для продвижения политических идей, а также изменится поведение APT-группировок - элитных команд хакеров с высоким уровнем квалификации и технической оснащенности.
Об изменении вектора атак на промышленные объекты свидетельствует появления так называемых программ вайперов. Такое ПО может приводить к нарушениям технологических процессов и выходу оборудования из строя.
Вайперы причиняют серьезный вред, удаляя или искажая важные данные, нарушая работу сетей, блокируя доступ к ИТ-инфраструктуре и приложениям. Причем в отличие от программ-шифровальщиков, вайпер невозможно использовать для получения выкупа. Результат его успешного применения необратим для ИТ-систем предприятия.
Важным фактором, указывающим на изменение ландшафта киберпреступности, стала смена целей для атак APT-группировок.
Так, группа APT31 до 2021 года не атаковала объекты в России. Но недавно специалисты PT Expert Security выявили такую активность группировки. Группа атакует государственные учреждения, СМИ, ТЭК. Ее основной целью является шпионаж
"В 2023 году киберпреступники будут атаковать промышленность не только ради финансовой выгоды, но и с целью остановки важнейших технологических процессов и организации аварий. В этой связи мы прогнозируем новые кампании кибершпионажа в отношении промпредприятий и ТЭК, а также более широкое применение вайперов", - отмечает Алексей Новиков, директор экспертного центра безопасности Positive Technologies.