Каждая третья успешная кибератака на промышленные предприятия связана со шпионажем, свидетельствует аналитический отчет группы компаний “Солар”. Основные инциденты в отрасли связаны с пользовательскими учетными записями и контролем над ними. При этом в даркнете заметен повышенный интерес к промышленности (особенно к тяжелой индустрии и ТЭК): хакеры часто ищут доступы и другие данные, которые помогут проникнуть в сеть предприятия и максимально долго оставаться незамеченными.
Среди инцидентов, зафиксированных “Солар”, встречаются попытки подбора пароля в том числе от критичных систем, административный доступ за пределы, многочисленные блокировки учетных записей. За последние три года на промышленный сектор было совершено около 600 тысяч попыток кибератак.
По данным отчета, только 1% утекших данных относится к промышленности, еще 3% – к телекому. Речь идет о краже технической информации, данных клиентов и сделок.
Инциденты в промышленности редко становятся известны публично. После проникновения злоумышленники стараются не привлекать внимания, не выкладывают базы в открытый доступ и не стремятся сделать себе пиар на таких атаках, отмечают в компании. Это еще раз указывает, что основная цель кибератак в отношении отрасли промышленности- шпионаж. “В ряде случаев хакеры могут месяцами оставаться в инфраструктуре предприятия незамеченными, добывая ценную информацию, развивая атаку, стараясь увеличить масштаб вредоносного воздействия или реализовать атаку на цепочку поставок”, – добавили в “Солар”.
В промышленности распространены и атаки с использованием вредоносного ПО. По данным Solar JSOC, около 10% подтвержденных инцидентов (то есть тех, на которые заказчик ответил и подтвердил критичность для бизнеса) приходятся на тип “вирус обнаружен на хосте и не удален”. Особенно актуальна проблема вирусов-майнеров (почти 4%), что объясняется масштабами распределенных инфраструктур и сложностью контроля за соблюдением политик ИБ. При этом мощности используемого на предприятиях оборудования дают злоумышленникам достаточно ресурса для добычи криптовалюты. Хотя чаще всего ВПО все-таки “пытается” провести подбор пароля или проэксплуатировать уязвимость EternalBlue (из-за которой возникли в свое время эпидемии WannaCry и NotPetya).
Из всех организаций, в инфраструктуре которых уже обнаружены вирусы, на промышленность и телеком приходится 35%. По оценке Solar 4RAYS, средний период заражения в 2024 году составляет 11,9 месяца, для промышленных сетей – 12,5 месяца, для телекома – 11,3 месяца. В 2023 году значения были ниже – 6,73 месяца для всех отраслей, и 8,5 и 11,3 месяца – для промышленности и телекома, соответственно.
Что касается уязвимостей предприятий, то, согласно анализу защищенности, на сектор промышленности и телекома приходится 22% всех обнаруженных уязвимостей с высоким уровнем критичности. Внутри этих отраслей 41% уязвимостей выявлено в энергетике, 25% – в телекоме, 18% – в нефтегазовой сфере, 16% – в производстве. На телеком и энергетику также приходится большая часть наиболее опасных (критичных для бизнеса) уязвимостей.
Большинство обнаруженных уязвимостей связаны со слабой парольной политикой (30%) и недостатками в контроле доступа (20%). Актуальны также риски, связанные с использованием компонентов с известными уязвимостями (10%), недостатками конфигураций (10%) и инъекциями (10%).