Опубликован отчет об угрозах для АСУ ТП в первой половине 2019 года

В первой половине 2019 года киберпреступники активно распространяли вымогательское ПО, следует из нового отчета «Лаборатории Касперского», посвященного угрозам для АСУ ТП. По числу атакованных программами-вымогателями компьютеров АСУ в тройку лидеров попали Иран (6,5%), Боливия (4,1%) и Египет (3,9%).

Также среди популярных киберугроз оказались черви. Наиболее распространенным методом маскировки проанализированных экземпляров червей являются LNK-файлы, содержащие скрипты для обхода защитных решений. При наличии подключения зараженного компьютера к интернету преступник отсылает на C&C-сервер информацию о зараженной системе и скачивает на компьютер целевое вредоносное ПО, чаще всего криптомайнеры и программы-вымогатели. Например, в Иране, где процент компьютеров АСУ, атакованных шифровальщиками, наиболее высок (по сравнению с другими странами), такие черви используются для распространения программы-вымогателя Cerber. Чаще всего заражение происходит через съемные носители. Больше всего червей было заблокировано на компьютерах АСУ в Боливии — 43,9%.

В список наиболее опасных угроз для энергетики в первой половине 2019 года вошли шпион AgentTesla, бэкдор MeterPeter и червь-wiper Syswin. AgentTesla представляет собой специализированное троянское ПО, написанное на .NET и предназначенное исключительно для кражи данных, в частности – учетных данных, скриншотов экрана, записи web-камеры и нажатий клавиатуры. Бэкдор Meterpreter обладает значительными возможностями по организации скрытого удаленного управления благодаря использованию техники рефлективной загрузки вредоносного кода. На третьем месте оказался червь-wiper Syswin. При запуске он заражает систему, прописывая себя в автозагрузку компьютера, и удаляет файлы на жестких дисках, что может привести к неработоспособности компьютера.

В первой половине 2019 года на системах промышленной автоматизации было заблокировано более 20,8 тыс. модификаций вредоносного ПО из 3,3 тыс. различных семейств. Данный показатель на 1,7 тыс. больше, чем в предыдущем полугодии, когда было заблокировано более 19,1 тыс. модификаций вредоносного ПО из 2,7 тыс. различных семейств. Наиболее актуальными угрозами для компьютеров АСУ остаются вредоносные программы класса Trojan.

В рейтинге стран по числу компьютеров АСУ, на которых была предотвращена вредоносная активность, первую строчку занял Алжир (69,4%). В первую пятерку стран вошла Боливия (68,5%), которая заняла второе место, оттеснив Вьетнам (68,4%), Тунис (65,6%) и Марокко (62,2%) на 3-е, 4-е и 5-е места соответственно.

Специалисты обнаружили положительную корреляцию между процентом атакованных компьютеров в стране и ее GDP-рейтингом, который дает грубые представления о количестве ресурсов, доступных промышленным организациям, в том числе для защиты от компьютерных атак. Данный фактор может зависит от таких составляющих, как эффективные меры и средства защиты периметра OT и периметра корпоративной среды, нормы и практики работы с общекорпоративными ресурсами внутри сегмента ОТ, меры и средства ограничения и контроля удаленных подключений инженеров, сетевых администраторов, интеграторов и производителей систем АСУ ТП, проработанность архитектуры и структуры информационной сети организации, меры, средства и практики обновления ПО и контроля использования нецелевого ПО, осведомленность персонала промышленных предприятий об угрозах кибератак и случайных заражений, уровень кибергигиены сотрудников, степень автоматизации предприятий, количество персонала и рабочих мест, оборудованных компьютерами, а также общая степень IT-развития страны, наличие собственных компьютеров и доступность интернета для сотрудников предприятия за его пределами.

Основными источниками угроз для компьютеров в технологической инфраструктуре организаций на протяжении последних лет являются интернет, съемные носители и электронная почта. В Северной и Западной Европе и в Северной Америке процент компьютеров АСУ, на которых были заблокированы угрозы из интернета, оказался самым низким (8,9% и 11,6% соответственно). Лидером в данном рейтинге является Африка (43%).

Максимальный процент компьютеров АСУ, на которых были заблокированы угрозы при подключении съемных носителей, отмечен в Африке (20%), Южной (16,9%) и Юго-Восточной Азии (16,8%). При этом в Австралии (0,95%), Северной Европе (1,2%) и Северной Америке (1,8%) этот показатель — минимальный.

В рейтинге регионов по проценту компьютеров АСУ, на которых были заблокированы вредоносные почтовые вложения, большого разброса значений нет. Возглавляет его Латинская Америка (7%), высокие показатели наблюдаются также в Южной Европе (6,7%) и Южной Азии (6,1%).