Заражения будут становиться менее случайными или иметь неслучайные продолжения. У злоумышленников было несколько лет, чтобы провести профилирование случайно заражённых компьютеров, имеющих либо прямое отношение к технологическим сетям промышленных предприятий, либо периодический доступ к ним. Злоумышленники, занимающиеся массовыми заражениями, будут перепродавать (возможно, уже продают) доступ к таким компьютерам группировкам, сфокусированным на промышленных предприятиях.
Некоторые группировки уже несколько лет специализируются на атаках промышленных предприятий для прямой кражи денег. За эти годы они хорошо изучили особенности бизнес-процессов промышленных предприятий, а также получили доступ к большому объёму информации об объектах технологической сети и технологическом процессе. Эксперты «Лаборатории Касперского» полагают, что следует ожидать появления новых сценариев атак на АСУ ТП и полевые устройства, а также неожиданных схем их монетизации.
На уровень безопасности промышленных предприятий может также, и очень сильно, негативно повлиять снятие с поддержки Windows 7 и Server 2008, популярных в АСУ ТП по всему миру, и, конечно же, утечка исходных кодов Windows XP – к сожалению, эти операционные системы до сих пор очень часто встречаются в технологических сетях. Есть высокая вероятность реализации сценария наподобие WannaCry в самом ближайшем будущем. И промышленные предприятия могут оказаться в числе наиболее пострадавших.
Что касается атак вымогателей, они становятся всё более технологически оснащёнными и изощрёнными. Злоумышленники почувствовали вкус к нападениям на промышленные компании (ведь те платят выкуп), и, следовательно, будут продолжать такие атаки. Кроме того, эксперты ожидают рост числа гибридных атак с кражей документов и последующей угрозой их публикации в случае отказа платить выкуп или продажей украденной информации в даркнете. Также, по их мнению, получат развитие идеи, реализованные в Snake: выраженная направленность шифровальщиков на АСУ ТП.
Злоумышленники начали понимать, что внутри периметра ОT* секреты охраняются хуже, чем в офисных сетях, а пробиться в технологическую сеть может быть даже проще ввиду наличия собственного периметра и уникальной поверхности атаки. «Плоская сеть» и прочие проблемы с разграничением доступа в OT-сетях могут сделать их привлекательной точкой входа в труднодоступные уголки корпоративной сети или дорожкой к инфраструктуре других организаций, а также прочим объектам холдингов и корпораций.
По мнению экспертов, продолжит расти количество APT-групп, в том числе атакующих организации, относящиеся к различным промышленным секторам. Активность злоумышленников будет коррелировать с локальными конфликтами, в том числе в «горячей фазе»: кибератаки, включая атаки на промышленные предприятия, будут использоваться как инструмент военных действий наряду с беспилотниками и информационными атаками через СМИ. Помимо задач «закрепиться на чёрный день» и кражи информации, кто-то рано или поздно обязательно перейдёт к более активным действиям.
Переход в онлайн и цифровизация муниципальных и государственных сервисов сделают их более уязвимыми для злоумышленников, создадут больше возможностей для кросс-ведомственных атак и атак на смежные структуры. Например, атакующие смогут подбираться к финальной цели, такой как, например, транспортные системы, через каналы связи и цепочки поставок, объединяющие различные государственные, муниципальные и частные инфраструктуры, начав атаку, например, с веб-сервиса муниципальных или правительственных органов.
Ограничение возможности проведения работ «на месте» замедлило темпы укрепления защиты периметра промышленных предприятий и их технологических сетей, помешав, в частности, установке и настройке нового оборудования. Вкупе с увеличением количества и разнообразия сессий удалённых подключений это может привести к снижению уровня защиты периметров технологических сетей промышленных предприятий. Безопасность промышленных объектов в таких условиях будет в значительной степени зависеть от эффективности работы endpoint-решений и программ повышения осведомлённости сотрудников. В то же время кибератаки, нацеленные на промышленные компании, становятся более зрелыми. Как следствие, даже несмотря на то, что количество атакованных компьютеров сокращается, число серьёзных инцидентов уменьшаться не будет.
Количество сотрудников на местах, способных своевременно реагировать на инцидент и перевести системы и установки в режим ручного управления в случае успешной кибератаки, сократилось. Это может способствовать увеличению масштаба распространения вредоносного ПО и усугубить последствия киберинцидентов.
Более подробно с прогнозами в области киберугроз на промышленных предприятиях можно ознакомиться по ссылке: https://ics-cert.kaspersky.ru/reports/2020/12/02/ics-threat-predictions-for-2021/.
*Operation technologies
Материал подготовлен АО "Лаборатория Касперского"
Обновленные возможности позволят компаниям контролировать каждый шаг обработки документации
На факультете вычислительной математики и кибернетики (ВМК) МГУ имени М.В. Ломоносова начала функционировать лаборатория свободного программного обеспечения, созданная при содействии компании «Базальт СПО». Студенты получают возможность реализовывать образовательные и научные проекты, связанные с созданием прикладного и кроссплатформенного программного обеспечения, а также заниматься сборкой образов операционных систем на основе платформы «Альт» для различных нужд.
Группа Arenadata проинформировала о выпуске обновлений для системы управления базами данных Arenadata QuickMarts (ADQM) и дополнительного модуля ADQM Control, которые теперь совместимы с российской операционной системой «Альт СП» (версия 10), разработанной компанией «Базальт СПО». Такое решение принято в рамках общей стратегии адаптации продуктовых предложений под требования современных заказчиков бизнеса.
Компания «Базальт СПО» презентовала свежую версию приложения WineHelper, предназначенную для удобной инсталляции и функционирования программ Windows в операционных системах серии «Альт». Среди нововведений — удобный графический интерфейс, поддержка альтернативных методов установки и скачивания приложений, а также встроенный инструмент для создания резервных копий установленных программ
Вышло обновление серверов Dr.Web Enterprise Security Suite и Dr.Web Industrial. Новая версия включает улучшения стабильности и новые инструменты централизованного управления действиями при обнаружении угроз на устройствах под управлением Android. Для получения всех преимуществ и корректной работы системы пользователям рекомендуется обновить серверы до актуальной версии
Компания «Доктор Веб» выявила опасный бэкдор Android.Backdoor.Baohuo.1.origin в модифицированных злоумышленниками версиях мессенджера Telegram X. Помимо возможности похищать конфиденциальные данные, включая логин и пароль пользователя, а также историю переписки, это ВПО обладает рядом уникальных особенностей. Например, чтобы предотвратить свое обнаружение и скрыть факт компрометации учетной записи, Android.Backdoor.Baohuo.1.origin умеет скрывать в списке активных сеансов Telegram подключения со сторонних устройств. Кроме того, он может добавлять и исключать пользователя из Telegram-каналов, вступать от его лица в чаты и выходить из них, также скрывая эти действия. Фактически с его помощью злоумышленники получают полный контроль над учетной записью жертвы и функциями мессенджера, а сам троян является инструментом для накрутки числа подписчиков в Telegram-каналах. Киберпреступники управляют бэкдором в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. По оценкам наших специалистов общее число устройств, зараженных Android.Backdoor.Baohuo.1.origin, превысило 58 000
С его помощью можно проверить, насколько ваш бизнес защищён от киберугроз и блокировок по 115-ФЗ
Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows
«Доктор Веб» сообщает о предстоящем обновлении песочницы Dr.Web vxCube. Изменения касаются обеих версий: облачной и локальной (on-premise).
Ваши контактные данные не публикуются на сайте.