Эксперты компании проанализировали киберугрозы 2020 года и выяснили, что по сравнению с 2019 годом количество инцидентов на промышленных предприятиях увеличилось на 91%, а число атак с использованием вредоносов увеличилось на 54%. На первом месте по количеству атак с использованием шифровальщиков оказались медицинские учреждения.
Как показало исследование, общее количество киберинцидентов в 2020 году выросло на 51% по сравнению с 2019 годом. Семь из десяти атак носили целенаправленный характер. Больше всего злоумышленников интересовали государственные учреждения (19%), промышленные компании (12%) и медицинские организации (9%).
По сравнению с 2019 годом в 2020 году число атак на промышленные компании выросло почти вдвое: прирост составил 91%. В основном эту отрасль атаковали операторы программ-вымогателей, в частности RansomExx, Netwalker, Clop, Maze, Ragnar Locker, LockBit, DoppelPaymer, а также Snake, который перед началом шифрования удаляет теневые копии и имеет функции, позволяющие принудительно остановить процессы в АСУ ТП. На промышленность нацелены и многие APT-группировки. Для стран СНГ остаются актуальными атаки группировки RTM: за 2020 год эксперты PT Expert Security Center выявили более 100 фишинговых рассылок этой группы.
«Реализация рисков в промышленности влечет за собой глобальные последствия, как в случае атаки на инфраструктуру водоснабжения и канализации в Израиле или в случае с отключением электроэнергии из-за кибератаки в Индии, — комментирует руководитель практики промышленной кибербезопасности Positive Technologies Дмитрий Даренский. — Из-за атак некоторые компании, например Huber+Suhner и Honda, были вынуждены приостановить производство. Предугадать возможность реализации самых опасных рисков и оценить масштаб последствий на объектах критически значимой инфраструктуры сложно, поскольку даже самые опытные специалисты не могут дать гарантию, что все предусмотренные защитные механизмы сработают как нужно. Для адекватной оценки актуальных рисков предприятия недостаточно тестов на проникновение и аудита с типовым моделированием угроз. Типовые методы анализа защищенности либо нельзя применять в действующей инфраструктуре, либо они просто неэффективны. Ключевой аспект анализа защищенности — верификация наиболее опасных, неприемлемых производственных и бизнес-рисков. Имитировать ход атаки хакеров и при этом не навредить «боевым» системам можно с помощью цифровых двойников или на киберполигоне, где в безопасной среде есть возможность получить наиболее полное представление о том, реально ли осуществить конкретные риски (например, переполнение нефтяного хранилища), возможность проверить, сработают ли механизмы защиты и успеет ли команда специалистов по безопасности вовремя увидеть инцидент и предотвратить его развитие".
По данным Positive Technologies, использование вредоносного ПО по-прежнему в тренде. В 2020 году количество подобных атак увеличилось на 54% по сравнению с 2019 годом. Разработчики ВПО уделяли много внимания методам сокрытия деструктивного воздействия и совершенствовали способы доставки, переключились на использование уязвимостей на сетевом периметре. Организации становились в основном жертвами программ-вымогателей, а частных лиц чаще атаковали с помощью шпионского ПО и банковских троянов.
Доля атак шифровальщиков среди всех атак с использованием ВПО, нацеленных на организации, составляет 45%. При этом на первом месте по числу атак с использованием шифровальщиков оказались медицинские учреждения (17%). Второе и третье места достались госучреждениям (16%) и промышленным предприятиям (15%) соответственно.
«Мы видим усиление тренда на кражу данных перед шифрованием с последующим требованием двойного выкупа — за дешифровщик и неразглашение украденной информации, — отмечает аналитик Positive Technologies Яна Юракова. — В течение всего 2020 года появлялись новые сайты операторов программ-вымогателей для размещения похищенной информации, за которую ее владельцы отказывались платить. В случае отказа операторы шифровальщиков не только шантажировали жертв разглашением украденной информации, но и устраивали DDoS-атаки. Кроме того, злоумышленники объединялись в новые группировки и спекулировали на своей причастности к более «могущественным» операторам шифровальщиков».