Szkodliwe oprogramowanie nęka produkcję przemysłową

Przeczytaj także: Szkodliwe oprogramowanie celuje w przemysł

Jak wynika z danych opublikowanych przez Kaspersky Lab, w I połowie br. jego produkty zdołały zablokować ataki wycelowane w 37,6% spośród kilkudziesięciu tysięcy objętych ochroną komputerów ICS. Statystyki względem poprzedniego badanego okresu właściwie nie uległy zmianie - odnotowany w II półroczu minionego roku wynik okazał się wyższy o zaledwie 1,6 punktu procentowego. Spokoju nie miały przede wszystkim firmy produkcyjne, trudniące się wytwórstwem różnego rodzaju materiałów, sprzętu oraz towarów, ale ataki doskwierały również branży inżynieryjnej, edukacyjnej oraz spożywczej. Niemal co dwudziesty atak wycelowany był w sektor energetyczny.

Aktywność cyberprzestępców najwyższa była w marcu, od kwietnia do czerwca ilość atakowanych komputerów stopniowo spadała.

Trójka państw o największej liczbie atakowanych komputerów przemysłowych nie zmieniła się i nadal obejmowała Wietnam (71%), Algierię (67,1%) oraz Maroko (65,4%). Jednocześnie badacze odnotowali wzrost liczby ataków w Chinach (57,1%), które uplasowały się na piątym miejscu, według danych opublikowanych przez Kaspersky Lab. Eksperci odkryli również, że główne źródło zagrożeń stanowił internet: próby pobrania szkodliwego oprogramowania lub uzyskania dostępu do znanych szkodliwych lub phishingowych zasobów WWW zostały zablokowane na 20,4% komputerów tworzących przemysłowe systemy sterowania. Powodem tak wysokiego odsetka tego rodzaju infekcji jest połączenie sieci przemysłowych z internetem, co stanowi zagrożenie dla całej infrastruktury.

Łącznie w ciągu pierwszych sześciu miesięcy 2017 roku Kaspersky Lab wykrył około 18 000 różnych modyfikacji szkodliwego oprogramowania w systemach automatyki przemysłowej.

Ataki oprogramowania ransomware

W pierwszej połowie roku świat musiał zmierzyć się z epidemią oprogramowania ransomware, która dotknęła również przedsiębiorstwa przemysłowe. Z badania przeprowadzonego przez Kaspersky Lab ICS CERT wynika, że liczba unikatowych komputerów przemysłowych, które były atakowane przez trojany szyfrujące, zwiększała się, odnotowując trzykrotny wzrost w czerwcu. Łącznie eksperci wykryli oprogramowanie ransomware należące do 33 różnych rodzin. Większość trojanów szyfrujących rozprzestrzeniano za pośrednictwem wiadomości spamowych podszywających się pod korespondencję biznesową, które zawierały szkodliwe załączniki lub odsyłacze do modułów pobierających szkodliwe oprogramowanie.

Poniżej przedstawiono główne dane statystyczne dotyczące oprogramowania ransomware pochodzące z raportu obejmującego I połowę 2017 r.:

• 5% komputerów w infrastrukturze przemysłowej organizacji przynajmniej raz było celem ataków oprogramowania ransomware.
• Komputery tworzące przemysłowe systemy sterowania w 63 krajach na całym świecie stanowiły cel licznych ataków przy użyciu oprogramowania ransomware, spośród których najbardziej znane były kampanie WannaCry oraz ExPetr (NotPetya).
• Epidemia WannaCry uplasowała się najwyżej wśród rodzin oprogramowania ransomware, przy czym 13,4% atakowanych komputerów stanowiło część infrastruktury przemysłowej. Najczęściej atakowane organizacje należały do sektora służby zdrowia oraz rządowego.
• Innym przykładem najbardziej znanych kampanii z udziałem oprogramowania ransomware w pierwszej połowie roku była kampania ExPetr, która dotknęła co najmniej 50% firm z branży produkcyjnej oraz ropy i gazu.
• Wśród 10 najszerzej rozpowszechnionych rodzin trojanów szyfrujących znalazły się również inne rodziny, takie jak Locky czy Cerber, które są aktywne od 2016 roku i przyniosły od tego czasu najwyższe zyski cyberprzestępcom.

To, że komputery tworzące przemysłowe systemy sterowania były celem około jednej trzeciej wszystkich ataków, stanowi znaczący powód do niepokoju, jeśli chodzi o bezpieczeństwo, oznaczając wysokie ryzyko cyberataku, który może spowodować szkody w systemach automatyki przemysłowej przedsiębiorstwa oraz poważne konsekwencje dla firm jako ogółu. Z uwagi na to, że w ciągu pierwszych sześciu miesięcy roku odnotowaliśmy aktywne rozprzestrzenianie szkodliwego oprogramowania szyfrującego – trend, który według nas utrzyma się w przyszłości – prawdopodobieństwo destrukcyjnego ataku jest jeszcze wyższe — powiedział Jewgienij Gonczarow, szef działu ochrony infrastruktury krytycznej, Kaspersky Lab.

Kaspersky Lab ICS CERT zaleca następujące działania w celu ochrony przemysłowych systemów sterowania przed potencjalnymi cyberatakami:

• Przeprowadź inwentaryzację działających usług sieciowych ze szczególnym naciskiem na usługi, które zapewniają zdalny dostęp do obiektów systemu plików.
• Przeprowadzaj inspekcję izolacji dostępu do komponentów przemysłowego systemy sterowania, aktywności sieci w sieci przemysłowej przedsiębiorstwa, jak również polityk i praktyk dotyczących wykorzystywania nośników wymiennych oraz urządzeń przenośnych.
• Sprawdzaj bezpieczeństwo zdalnego dostępu do sieci przemysłowej jako minimum oraz, jako maksymalny środek bezpieczeństwa, ogranicz lub całkowicie wyeliminuj wykorzystywanie narzędzi zdalnej administracji.
• Dopilnuj, aby rozwiązania bezpieczeństwa punktów końcowych były aktualizowane.
• Stosuj zaawansowane metody ochrony: wdrażaj narzędzia, które zapewniają monitorowanie ruchu sieciowego oraz wykrywanie cyberataków w sieciach przemysłowych.