导言
PT Security公司发布了最新的工业网络安全威胁2022报告。该报告汇总了过去一年发生的安全事件和攻击趋势,为行业提供了有价值的信息和见解。
报告首先强调了工业网络安全形势的日益严峻。在2021年,工业网络面临了越来越多的攻击事件,这些事件中包括勒索软件、数据泄露和网络破坏等。
报告指出,工业网络攻击者采用的技术越来越先进,攻击方式也更加狡猾。针对工业控制系统的攻击在2021年明显增加,这些攻击的目的是破坏工业生产和基础设施。
报告还探讨了2022年工业网络安全面临的挑战和趋势。其中,人工智能和物联网技术的广泛应用将给工业网络带来更大的风险,攻击者将有更多机会利用这些技术进行攻击。另外,工业网络的供应链安全也将成为一个重要的议题,工业企业需要关注他们的供应商和合作伙伴的网络安全。
报告还提供了工业网络安全建议,包括实施多层安全措施、定期进行安全评估和漏洞扫描、强化网络监控等。
🏭 在过去的几年里,行业组织没有离开最受网络犯罪分子攻击的前三个行业。去年,每十次对组织的成功攻击就占了这一领域的企业。
今天在“俄罗斯的数字弹性和信息安全”论坛上,我们介绍了 2022 年与工业企业相关的网络威胁研究
🥷 去年该行业的网络攻击总数增加了 7% 。它受到勒索软件团体、黑客活动分子和 APT 团体的最积极攻击。
在成功的攻击中,70% 是使用恶意软件进行的,其中勒索软件明显领先。 2022 年的趋势是使用擦除器——删除数据的软件。
🧑💻去年,暗网上访问工业组织基础设施的次数增加了 40% 以上。访问占所有行业相关广告的 75%,通常花费在 500 美元到 5,000 美元之间。
工业部门甚至会吸引来钱容易的初学者,他们在获得初步访问权后,将其出售给更有资格的攻击者以进一步发展攻击。
💡 只有采用综合方法,才能防止可能导致工业企业发生不可接受事件的网络攻击。首先,有必要决定什么需要保护,什么需要保护,什么事件是不可接受的,以及什么策略可以保证防止它们的实施。然后才选择技术解决方案。
总之,工业网络安全是一个日益重要的议题,工业企业需要采取有效的安全措施来保护他们的网络和基础设施,以应对不断增长的威胁。
正文
对工业组织的攻击统计
企业的高度可制造性以及各种数字服务和软件的使用增加了攻击者找到进入内部并为公司提交不可接受的事件的方法的机会。几年来,就网络事件数量而言,工业组织并没有离开前五名,2022 年也不例外:几乎十分之一成功攻击组织的组织占工业企业。
统计数据基于来自俄罗斯和外国权威来源的大量调查和公开数据。
在我们的研究中,我们只使用成功的网络攻击数据。
由于勒索软件活动的大规模激增,2019 年工业组织中的事件数量急剧增加。2020 年给工业公司带来了新的挑战:由于员工大规模过渡到远程工作,如果没有得到足够的保护,传统封闭的内部系统可以从外部使用。在 2021-2022 年,在地缘政治局势恶化的背景下,由于勒索软件、APT 团体的活动和网络空间的对抗,紧张局势持续存在。
2022 年,工业企业总共记录了 223 起由恶意攻击引起的事件,与 7 年相比增加了 2021%。2022 年第二季度发生的事件数量最多——然后确定了 75 次成功的攻击。在对工业部门组织的攻击中,97%是有针对性的;APT团体的攻击占事件总数的17%。
谁攻击这个行业以及如何攻击
在成功的攻击中,87%针对 计算机,服务器和网络设备 ,勒索软件的主要目标。在44%的案例中,攻击者使用恶意电子邮件通讯(94%)和网络钓鱼网站(10%)对工业组织的人员进行攻击。12%的攻击是针对工业部门组织的Web资源(站点)。
在大多数针对工业组织的成功攻击(70%)中,攻击者使用了恶意软件。几乎一半的工业网络攻击(44%)使用社会工程技术。利用软件漏洞的攻击比例为43%。
恶意软件
最常见的恶意软件类型是勒索软件——三分之二使用 IDP 的攻击是在他们的帮助下进行的。2022 年工业行业中最受欢迎的三种勒索软件类型是 LockBit、BlackCat (ALPHV) 和 Conti。这三种勒索软件都有适用于Windows和Linux的实现。每种菌株都对任何行业的企业构成严重威胁,而不仅仅是来自工业行业的企业。在确保数据的可用性和机密性方面,不应掉以轻心。
2022 年对工业部门的攻击趋势是网络犯罪分子使用毒蛇——删除数据的软件。此类软件可能导致违反技术流程和设备故障。流星和球童雨刷在 2022 年第一季度很受欢迎,至今仍在积极使用。它们可能会删除或扭曲重要数据、中断网络以及阻止对系统或应用程序的访问,从而对组织造成严重损害。
23%的病例使用IDP进行远程控制。在这里,我们可以重点介绍常见的远程访问木马(RAT)PlugX,Remcos和TRISIS,它们用于未经授权访问公司基础设施。这些特洛伊木马可用于系统中的各种操作:例如,窃取机密数据、破坏主要活动或安装其他恶意软件。
15% 的攻击使用了间谍软件。最受欢迎的是特工特斯拉间谍病毒,可用于窃取机密信息。它能够收集数据并将其发送到命令和控制服务器,例如击键,屏幕截图和网络流量。为了防止间谍软件的传播,组织必须拥有现代化的防病毒保护系统,并定期扫描其网络以查找潜在威胁。此外,员工应接受有关如何识别可能包含恶意链接的可疑电子邮件或网站的培训。
工业领域最流行的社会工程渠道已成为电子邮件。在它的帮助下,攻击者在单击下载 VPO 或打开网络钓鱼站点时,将其伪装成各种文档,并发送带有恶意链接的信件。
暗网帮助
与 2022 年相比,40 年在暗网中出售的工业组织基础设施的访问权限增加了 2021%。
2022 年,访问量占所有行业相关广告的 75%。这种优势可以通过对轻松赚钱的渴望以及该方向在初学者中的普及来解释,他们在获得初始访问权限后,将其出售给更合格的攻击者以进一步发展攻击。
在影子论坛上,有以不同价格向公司出售大量访问权限的广告:它们包含有关组织收入,网络上设备数量以及所接收访问权限的特权级别的信息。
大多数访问的成本在500到5000 $之间。如果价格低于 500 美元,我们谈论的是进入特权水平较低的小公司。低成本也可以表明转售或一次将其出售给几个人。价值超过 5000,<> 美元的访问次数很低,这种成本可以通过公司的高盈利能力和规模以及高水平的帐户特权来证明是合理的。在某些情况下,如果卖方认为高价无关紧要,他可能会降低高价。
如果我们根据收入比较公司的访问次数,那么收入小(高达 100 亿美元)的公司在影子市场上的访问量增加了 30%。这是由于此类组织的安全性较低,这使得攻击者能够以更少的努力获得初始访问权限。
攻击工业组织的团体
与工业部门相关的最大活动是由勒索软件组织显示的,特别是LockBit,BlackCat,Cl0p,Conti。在成功的攻击中,70%是使用恶意软件进行的,其中勒索软件是明显的领导者。
黑客攻击的主要目的是破坏组织的主要活动,干扰服务的提供并窃取机密信息。为了实现他们的目标,网络活动家进行了大规模的DDoS攻击,入侵了工业公司的网站,从邮件服务器窃取了公司的商业信件。
在APT团体中可以确定太空海盗,APT31和ChamelGang。太空海盗是迄今为止最活跃的。自从我们的出版以来报告2022 年 <> 月,该组织继续进行新的攻击。其目标包括国家机构、航空航天工业组织、能源、军工联合体和工业。监视公司,该组织主要使用以下工具:Deed RAT,MyKLoadClient,Zupdax,RtlShare。但是,在最近的一项研究中,我们发现它还使用ShadowPad后门,该后门被亚洲地区的其他攻击者使用。在其攻击中,该组织在外围的公司产品中使用网络钓鱼和漏洞。
APT31 组织直到 2021 年才袭击俄罗斯的设施。但最近,PT专家安全中心专家首先确定了该组织的此类活动,并准备了详细的报告.该组织攻击国家机构、媒体以及燃料和能源部门。它的目标是间谍活动,它也有自己的一套工具,作为控制服务器,它使用云存储来绕过网络检测工具。网络钓鱼用作源载体。
查梅尔岗2021年年中加强。该组织通过利用全球Exchange服务器上的ProxyShell漏洞开始攻击。它的主要目标是间谍活动。为了隐藏HPE,她使用自己的工具和不平凡的技术。
工业袭击的后果
攻击者转向窃取机密信息的总体趋势并没有绕过工业部门:56%的成功攻击导致重要数据泄露。最常见的被盗数据类型是包含商业秘密和个人数据的信息。在 45% 的情况下,攻击导致工业组织的主要活动中断:由于勒索软件的攻击,他们的基础设施变得无法访问。
在第三季度,燃料和能源综合体的组织引起了攻击者的特别关注。由于BlackCat勒索软件攻击,天然气管道运营商和电网的客户端无法访问克里奥斯卢森堡.由于黑客攻击,有 技术文档、合同信息和运营商客户数据被盗。相差几天就犯了攻击意大利炼油巨头埃尼和意大利能源机构Gestore dei Servizi Energetici的系统。两次攻击 导致机密信息大规模泄露,服务不可用和客户服务失败。
2022 年对工业组织的高调攻击示例
- 攻击最大的肉制品生产商《金牛座》在恶意软件的帮助下,攻击者设法袭击了公司的基础设施(服务器、工作站等)。这导致该组织的业务流程中断,随后导致数千万卢布的经济损失。
- 黑客攻击农业中心“塞利亚蒂诺”攻击者设法访问了制冷设备的工业控制控制器,并将温度从-24°C更改为+ 30°C,这几乎导致400万吨冷冻产品变质。员工及时注意到袭击并做出回应。
- 勒索软件攻击最大的农业控股公司«米拉托格»由于勒索软件攻击,控股公司的一些公司失去了以电子形式发布生产和运输兽医文件的机会,这使产品的销售变得复杂。
- 针对风力涡轮机运营商的勒索软件攻击北欧和德国风力技术公司由于这些攻击,公司被迫禁用IT系统和远程访问受控涡轮机。
- 勒索软件攻击卡塔戈电力服务军政府(JASEC)一次大规模的孔蒂袭击使管理卡塔戈(哥斯达黎加)能源的国家机构瘫痪。一群勒索者剥夺了客户支付电费和互联网账单的机会。
- 对电力供应商的攻击心电图在加纳由于勒索软件攻击,支付和购买电力的服务不可用,导致停电,在该国某些地区,居民几天没有电。
- 黑客攻击三家伊朗钢厂由于一次重大袭击,生产技术流程中断,在其中一家工厂,攻击者设法用液体铸铁倒塌了一个桶,这引起了车间的火灾。根据一些信息,攻击使用了删除数据的软件。
- 对石油公司的攻击油罐和马巴纳夫特,油终端在比利时和荷兰由于这些攻击,许多与装卸储罐相关的自动化技术流程被关闭。公司暂时无法履行合同义务。比利时的主要石油码头SEA-Invest和荷兰的Evos也遭到袭击 – 这些事件影响了整个欧洲和非洲港口的运营,并导致燃料供应延迟。
结论和预测
在当前现实中,确保工业企业网络安全的问题尤为尖锐。事件数量仍然很高,攻击者正在实施越来越多的不可接受的事件,这些事件不仅影响单个组织,而且影响整个行业。
2023 年,对工业企业进行网络攻击的犯罪分子的目标将不是经济利益或获得大量赎金,而是中断公司活动,停止其最重要的技术流程和事故。在这方面,我们预测会出现针对工业系统的新恶意程序,以及毒蛇的更广泛使用,从而导致设备上的数据被破坏。我们还预计会出现针对工业企业以及燃料和能源行业的新的网络间谍活动。
2023 年对于工业部门的组织来说并不容易:该行业不仅吸引了攻击者的极大关注,还吸引了打算显着提高行业保护状态的监管机构的极大关注。反过来,这将需要积极的工作和大量资源,以确保必要的安全水平并遵守监管机构新的、更高的要求。
前一年出现的许多新攻击者将注意力转向了工业部门。今年在新玩家涌现的趋势中也不例外。
组织应检查其信息资产,识别弱点和可能的威胁。首先,有必要识别业务运作不可接受的可能事件,并使用渗透测试或将数字孪生放置在网络多边形上定期验证此类事件。这种方法将有助于建立一个全面的保护和监控系统,不允许攻击者损害组织及其客户。由于在各种IDP(勒索软件,毒蛇)的帮助下破坏工业组织的主要活动的趋势,备份解决方案将允许您在攻击仍达到目标时快速恢复。重要的是要记住人为因素对网络攻击成功的影响,并开展活动以提高网络安全领域的警惕性和意识,以及使用社会工程方法进行反击攻击的培训。
原文链接:Актуальные киберугрозы для промышленных организаций: итоги 2022 года (ptsecurity.com)