Krajobraz cyberzagrożeń przemysłowych w I połowie 2017 r.
Z nowego raportu Kaspersky Lab poświęconego ewolucji cyberzagrożeń przemysłowych wynika, że w pierwszej połowie roku na ataki najbardziej narażone były firmy produkcyjne.
Znajdujące się w nich komputery tworzące przemysłowe systemy sterowania (ICS) stanowiły cel około jednej trzeciej wszystkich działań cyberprzestępców. Największa aktywność atakujących miała miejsce w marcu, po czym w okresie od kwietnia do czerwca odsetek atakowanych komputerów odnotował stopniowy spadek.
W ciągu pierwszych sześciu miesięcy roku produkty firmy Kaspersky Lab zablokowały próby ataków na 37,6% spośród kilkudziesięciu tysięcy chronionych komputerów ICS na całym świecie. Odsetek ten pozostał niemal niezmieniony w stosunku do poprzedniego okresu i wynosił jedynie o 1,6 punktu procentowego mniej niż w drugiej połowie 2016 r. Większość z atakowanych komputerów była zlokalizowana w firmach produkcyjnych wytwarzających różne materiały, sprzęt oraz towary. Wśród innych szczególnie dotkniętych branż należy wyróżnić inżynieryjną, edukacyjną oraz żywności i napojów. Komputery tworzące przemysłowe systemy sterowania w firmach sektora energetycznego stanowiły cel prawie 5% wszystkich ataków.
Trójka państw o największej liczbie atakowanych komputerów przemysłowych nie zmieniła się i nadal obejmowała Wietnam (71%), Algierię (67,1%) oraz Maroko (65,4%). Jednocześnie badacze odnotowali wzrost liczby ataków w Chinach (57,1%), które uplasowały się na piątym miejscu, według danych opublikowanych przez Kaspersky Lab. Eksperci odkryli również, że główne źródło zagrożeń stanowił internet: próby pobrania szkodliwego oprogramowania lub uzyskania dostępu do znanych szkodliwych lub phishingowych zasobów WWW zostały zablokowane na 20,4% komputerów tworzących przemysłowe systemy sterowania. Powodem tak wysokiego odsetka tego rodzaju infekcji jest połączenie sieci przemysłowych z internetem, co stanowi zagrożenie dla całej infrastruktury.
Łącznie w ciągu pierwszych sześciu miesięcy 2017 roku Kaspersky Lab wykrył około 18 000 różnych modyfikacji szkodliwego oprogramowania w systemach automatyki przemysłowej.
Ataki oprogramowania ransomware
W pierwszej połowie roku świat musiał zmierzyć się z epidemią oprogramowania ransomware, która dotknęła również przedsiębiorstwa przemysłowe. Z badania przeprowadzonego przez Kaspersky Lab ICS CERT wynika, że liczba unikatowych komputerów przemysłowych, które były atakowane przez trojany szyfrujące, zwiększała się, odnotowując trzykrotny wzrost w czerwcu. Łącznie eksperci wykryli oprogramowanie ransomware należące do 33 różnych rodzin. Większość trojanów szyfrujących rozprzestrzeniano za pośrednictwem wiadomości spamowych podszywających się pod korespondencję biznesową, które zawierały szkodliwe załączniki lub odsyłacze do modułów pobierających szkodliwe oprogramowanie.
Poniżej przedstawiono główne dane statystyczne dotyczące oprogramowania ransomware pochodzące z raportu obejmującego I połowę 2017 r.:
· 5% komputerów w infrastrukturze przemysłowej organizacji przynajmniej raz było celem ataków oprogramowania ransomware.
· Komputery tworzące przemysłowe systemy sterowania w 63 krajach na całym świecie stanowiły cel licznych ataków przy użyciu oprogramowania ransomware, spośród których najbardziej znane były kampanie WannaCry oraz ExPetr (NotPetya).
· Epidemia WannaCry uplasowała się najwyżej wśród rodzin oprogramowania ransomware, przy czym 13,4% atakowanych komputerów stanowiło część infrastruktury przemysłowej. Najczęściej atakowane organizacje należały do sektora służby zdrowia oraz rządowego.
· Innym przykładem najbardziej znanych kampanii z udziałem oprogramowania ransomware w pierwszej połowie roku była kampania ExPetr, która dotknęła co najmniej 50% firm z branży produkcyjnej oraz ropy i gazu.
· Wśród 10 najszerzej rozpowszechnionych rodzin trojanów szyfrujących znalazły się również inne rodziny, takie jak Locky czy Cerber, które są aktywne od 2016 roku i przyniosły od tego czasu najwyższe zyski cyberprzestępcom.
To, że komputery tworzące przemysłowe systemy sterowania były celem około jednej trzeciej wszystkich ataków, stanowi znaczący powód do niepokoju, jeśli chodzi o bezpieczeństwo, oznaczając wysokie ryzyko cyberataku, który może spowodować szkody w systemach automatyki przemysłowej przedsiębiorstwa oraz poważne konsekwencje dla firm jako ogółu. Z uwagi na to, że w ciągu pierwszych sześciu miesięcy roku odnotowaliśmy aktywne rozprzestrzenianie szkodliwego oprogramowania szyfrującego – trend, który według nas utrzyma się w przyszłości – prawdopodobieństwo destrukcyjnego ataku jest jeszcze wyższe — powiedział Jewgienij Gonczarow, szef działu ochrony infrastruktury krytycznej, Kaspersky Lab.
Kaspersky Lab ICS CERT zaleca następujące działania w celu ochrony przemysłowych systemów sterowania przed potencjalnymi cyberatakami:
· Przeprowadź inwentaryzację działających usług sieciowych ze szczególnym naciskiem na usługi, które zapewniają zdalny dostęp do obiektów systemu plików.
· Przeprowadzaj inspekcję izolacji dostępu do komponentów przemysłowego systemy sterowania, aktywności sieci w sieci przemysłowej przedsiębiorstwa, jak również polityk i praktyk dotyczących wykorzystywania nośników wymiennych oraz urządzeń przenośnych.
· Sprawdzaj bezpieczeństwo zdalnego dostępu do sieci przemysłowej jako minimum oraz, jako maksymalny środek bezpieczeństwa, ogranicz lub całkowicie wyeliminuj wykorzystywanie narzędzi zdalnej administracji.
· Dopilnuj, aby rozwiązania bezpieczeństwa punktów końcowych były aktualizowane.
· Stosuj zaawansowane metody ochrony: wdrażaj narzędzia, które zapewniają monitorowanie ruchu sieciowego oraz wykrywanie cyberataków w sieciach przemysłowych.
Pełny raport poświęcony ewolucji cyberzagrożeń przemysłowych w I połowie 2017 r. jest dostępny na stronie https://kas.pr/rs2t.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.