Эксперты Kaspersky ICS CERT представили своё видение того, какие вызовы уже стоят или вскоре будут стоять перед промышленными предприятиями и чего ожидать от киберпреступников в 2021 году.
Заражения будут становиться менее случайными или иметь неслучайные продолжения. У злоумышленников было несколько лет, чтобы провести профилирование случайно заражённых компьютеров, имеющих либо прямое отношение к технологическим сетям промышленных предприятий, либо периодический доступ к ним. Злоумышленники, занимающиеся массовыми заражениями, будут перепродавать (возможно, уже продают) доступ к таким компьютерам группировкам, сфокусированным на промышленных предприятиях.
Некоторые группировки уже несколько лет специализируются на атаках промышленных предприятий для прямой кражи денег. За эти годы они хорошо изучили особенности бизнес-процессов промышленных предприятий, а также получили доступ к большому объёму информации об объектах технологической сети и технологическом процессе. Эксперты «Лаборатории Касперского» полагают, что следует ожидать появления новых сценариев атак на АСУ ТП и полевые устройства, а также неожиданных схем их монетизации.
На уровень безопасности промышленных предприятий может также, и очень сильно, негативно повлиять снятие с поддержки Windows 7 и Server 2008, популярных в АСУ ТП по всему миру, и, конечно же, утечка исходных кодов Windows XP – к сожалению, эти операционные системы до сих пор очень часто встречаются в технологических сетях. Есть высокая вероятность реализации сценария наподобие WannaCry в самом ближайшем будущем. И промышленные предприятия могут оказаться в числе наиболее пострадавших.
Что касается атак вымогателей, они становятся всё более технологически оснащёнными и изощрёнными. Злоумышленники почувствовали вкус к нападениям на промышленные компании (ведь те платят выкуп), и, следовательно, будут продолжать такие атаки. Кроме того, эксперты ожидают рост числа гибридных атак с кражей документов и последующей угрозой их публикации в случае отказа платить выкуп или продажей украденной информации в даркнете. Также, по их мнению, получат развитие идеи, реализованные в Snake: выраженная направленность шифровальщиков на АСУ ТП.
Злоумышленники начали понимать, что внутри периметра ОT секреты охраняются хуже, чем в офисных сетях, а пробиться в технологическую сеть может быть даже проще ввиду наличия собственного периметра и уникальной поверхности атаки. «Плоская сеть» и прочие проблемы с разграничением доступа в OT-сетях могут сделать их привлекательной точкой входа в труднодоступные уголки корпоративной сети или дорожкой к инфраструктуре других организаций, а также прочим объектам холдингов и корпораций.
По мнению экспертов, продолжит расти количество APT-групп, в том числе атакующих организации, относящиеся к различным промышленным секторам. Активность злоумышленников будет коррелировать с локальными конфликтами, в том числе в «горячей фазе»: кибератаки, включая атаки на промышленные предприятия, будут использоваться как инструмент военных действий наряду с беспилотниками и информационными атаками через СМИ. Помимо задач «закрепиться на чёрный день» и кражи информации, кто-то рано или поздно обязательно перейдёт к более активным действиям.
Переход в онлайн и цифровизация муниципальных и государственных сервисов сделают их более уязвимыми для злоумышленников, создадут больше возможностей для кросс-ведомственных атак и атак на смежные структуры. Например, атакующие смогут подбираться к финальной цели, такой как, например, транспортные системы, через каналы связи и цепочки поставок, объединяющие различные государственные, муниципальные и частные инфраструктуры, начав атаку, например, с веб-сервиса муниципальных или правительственных органов.
Ограничение возможности проведения работ «на месте» замедлило темпы укрепления защиты периметра промышленных предприятий и их технологических сетей, помешав, в частности, установке и настройке нового оборудования. Вкупе с увеличением количества и разнообразия сессий удалённых подключений это может привести к снижению уровня защиты периметров технологических сетей промышленных предприятий. Безопасность промышленных объектов в таких условиях будет в значительной степени зависеть от эффективности работы endpoint-решений и программ повышения осведомлённости сотрудников. В то же время кибератаки, нацеленные на промышленные компании, становятся более зрелыми. Как следствие, даже несмотря на то, что количество атакованных компьютеров сокращается, число серьёзных инцидентов уменьшаться не будет.
Количество сотрудников на местах, способных своевременно реагировать на инцидент и перевести системы и установки в режим ручного управления в случае успешной кибератаки, сократилось. Это может способствовать увеличению масштаба распространения вредоносных программ и усугубить последствия киберинцидентов.