În prima jumătate a anului, companiile producătoare au fost cele mai vulnerabile: computerele ICS au reprezentat aproximativ o treime dintre toate atacurile, conform raportului Kaspersky Lab, “Amenințările la adresa sistemelor de automatizări industriale în H1 2017”. Vârful activității atacatorilor a fost înregistrat în martie, după care proporția computerelor atacate a scăzut gradual, din aprilie, până în iunie.
Pe parcursul primelor șase luni din an, produsele Kaspersky Lab au blocat tentative de atac pe 37,6% dintr-un total de zeci de mii de computere ICS protejate de ele, la nivel global. Această cifră a rămas aproape neschimbată, comparativ cu perioada anterioară – cu 1,6 puncte procentuale mai puțin decât în a doua jumătate a anului 2016. Majoritatea dintre ele au fost în companii care produc diferite materiale, echipamente și bunuri de consum. Printre celelalte domenii afectate se numără ingineria, educația și industria alimentară. Computerele ICS ale companiilor din energie au reprezentat aproape 5% din totalul atacurilor.
Top 3 țări în care au fost atacate computere industriale a rămas neschimbat, fiind alcătuit din Vietnam (71%), Algeria (67,1%) și Maroc (65,4%). În schimb, cercetătorii au detectat o creștere în numărul de atacuri în China (57,1%), care s-a clasat pe locul al cincilea. De asemenea, experții au descoperit că principala sursă a amenințărilor a fost Internetul, care reprezintă un pericol pentru întreaga infrastructură industrială.
În total, în primele șase luni din 2017, au fost detectate aproximativ 18.000 variante de malware pe sistemele de automatizări industriale, care aparțin unui număr de peste 2.500 de familii diferite.
Atacuri ransomware
În prima jumătate a anului, toată lumea s-a confruntat cu “epidemia” de ransomware, care a afectat și companii industriale. Pe baza cercetării, numărul computerelor ICS unice atacate cu troieni de criptare a crescut, ajungând să se tripleze în luna iunie. În ansamblu, experții au descoperit ransomware de criptare aparținând unui număr de 33 de familii diferite. Majoritatea troienilor de criptare au fost distribuiți prin intermediul e-mail-urilor spam, deghizate în corespondență de business, conținând fișiere infectate sau link-uri pentru a descărca ulterior fișiere infectate.
Principalele statistici ransomware din H1 2017 includ următoarele:
- 0,5% dintre computerele din infrastructura industrială a organizațiilor au fost atacate cu programe ransomware de criptare cel puțin o dată.
- Computerele ICS din 63 de țări din toată lumea au fost ținta a numeroase atacuri ransomware, cele mai cunoscute fiind campaniile WannaCry și ExPetr.
- “Epidemia” WannaCry s-a clasat pe primul loc în rândul familiilor ransomware, 13,4% dintre toate computerele din infrastructura industrială fiind atacate astfel. Printre cele mai afectate organizații s-au numărat instituții din domeniul sănătății și din sectorul guvernamental.
- ExPetr a fost o altă campanie ransomware foarte cunoscută, în prima jumătate a anului, care a atacat cel puțin 50% dintre companii din domeniile producție și petrol & gaze.
- În Top 10 cele mai răspândite familii de troieni criptori se află alte familii ransomware, cum ar fi Locky și Cerber, care acționează din 2016 și au produs câștiguri foarte mari pentru infractorii cibernetici.
Pentru a proteja mediul ICS de potențiale atacuri cibernetice, specialiștii recomandă următoarele:
- Faceți un inventar al serviciilor care funcționează în rețea, acordând o atenție deosebită celor care oferă acces la FSO (file system object) de la distanță.
- Auditați izolarea accesului la componente ICS, activitatea rețelei în rețeaua industrială a companiei, activitatea rețelei în rețeaua industrială a companiei, a politicilor și a practicilor legate de utilizarea mijloacelor de stocare externă și a dispozitivelor portabile.
- Verificați securitatea accesului de la distanță la rețeaua industrială, ca măsură minimală de siguranță, și reduceți sau eliminați complet folosirea instrumentelor de administrare de la distanță, ca măsură suplimentară.
- Mențineți soluțiile de securitate actualizate.
- Folosiți metode avansate de protecție: instalați instrumente care monitorizează traficul rețelei și detectează atacurile cibernetice în rețelele industriale.
