В прошлом году злоумышленники выбрали новые векторы атак на автоматизированные системы управления техпроцессами (АСУ ТП) – самым популярным способом проникновения в инфраструктуру стала компрометация учетных данных. К такому выводу пришли в экспертно-аналитическом центра (ЭАЦ) InfoWatch в ходе исследования «Тенденции развития киберинцидентов АСУ ТП за 2024 год». Чаще всего объектами атак становятся машиностроительные, транспортные и производственные предприятия, а также компании из сферы энергетики.
Кража учетных данных на смену фишингу
Одна из важных тенденций по итогам нескольких последних лет, которую отмечают авторы исследования, – это изменение вектора атак на АСУ ТП. В 2020 г. злоумышленники для проникновения в инфраструктуру чаще всего использовали внешние устройства (24% случаев), фишинг (22%) и устройства удаленного доступа (14%).
По итогам 2024 г. самым распространенным инструментом стала компрометация учетных данных (20%), атаки на цепочки поставок (15%) и устройства с доступом к интернету (13%). Точкой проникновения в инфраструктуру предприятия чаще всего становятся инженерные рабочие станции (30% атак), SCADA-серверы (25%) и программируемые логические контроллеры (ПЛК, 21%).
Интенсивность и продолжительность атак заметно возросла, указывают аналитики, – за последние два года количество киберинцидентов АСУ ТП в России выросло на 160%, это значительно выше общемирового показатель за тот же период (17%).
Что касается вредоносного ПО, которое используют при атаках, то здесь лидируют трояны-вымогатели, в том числе удаленного доступа – на них суммарно приходится более 70% всех инцидентов.
Авторы исследования отмечают, что разработчики программ-вымогателей применяют все более сложные алгоритмы шифрования, улучшенные методы бокового перемещения внутри сетей и более эффективные механизмы уклонения от обнаружения. Нередко вредоносы пишутся специально для атаки на конкретное предприятие, с учетом особенностей построения его инфраструктуры.
Кто в зоне риска?
Чаще всего злоумышленники атакуют машиностроительные предприятия – на них пришлось 38% от общего числа атак за 2024 г. в России и 32% в мире, подсчитали эксперты ЭАЦ InfoWatch. На втором месте транспортная отрасль (24% и 28% соответственно), на третьем производственные предприятия и добыча (19% и 22%), на четвертом компании сферы энергетики (19% и 18%).
Количество целенаправленных атак на машиностроение за последние пять лет заметно выросло, аналогичная тенденция и в производственной сфере – пищевой, нефтеперерабатывающей и нефтехимической промышленности, металлургии, фармацевтике, отмечают авторы отчета. Количество атак на сектор энергетики тоже увеличилось, что в первую очередь связано с усилением геополитической напряженности.
Еще одна тенденция – 2024 состоит в том, что в киберпространстве чаще стали действовать классические организованные преступные группировки, которые таким образом расширили сферу своей деятельности. В том числе с этим связан рост числа атак на машиностроение и производственный сектор – собственники несут значительные убытки от остановки производства, и это часто заставляет их платить выкуп вымогателям.
«Самыми привлекательными для киберпреступников являются распределенные структуры – энергетические, транспортные, а также компании с удаленными площадками. Самые уязвимые места промышленных предприятий – слабая сегментация сетей, то есть отсутствие разделения между корпоративными и промышленными сетями, аутентификация домена, охватывающая ИТ и АСУ ТП, плохой мониторинг и видимость устройств АСУ ТП, неуправляемые устройства», – отметил главный аналитик ЭАЦ InfoWatch Сергей Слепцов.
Возможное снижение геополитической напряженности окажет незначительное влияние на тенденции, наметившиеся в последние три года. Поэтому главной задачей служб ИБ будет построение надежной и устойчивой системы защиты производственной инфраструктуры, прогнозируют эксперты.
В рамках исследования аналитики использовали собственные данные экспертно-аналитического центра ГК InfoWatch по инцидентам АСУ ТП в России и мире, а также информацию из открытого доступа более чем от 160 вендоров ИБ ICS/OT (АСУ ТП), 32 аналитических и консалтинговых компаний, 43 промышленных ассоциаций, 65 информационных агентств в сфере информационных и операционных технологий.
