Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Positive Technologies: промышленность — одна из наиболее атакуемых отраслей в России

06/09/24

PT-Sep-06-2024-08-34-33-2873-AM

Промышленный сектор остается в зоне повышенного риска кибератак в последние несколько лет: на него приходится 11% всех кибератак в странах СНГ. На промышленность нацелены злоумышленники разных категорий — от продавцов данных на теневых рынках до APT-группировок. Эти данные были представлены в исследовании «Актуальные киберугрозы в странах СНГ 2023–2024» во время Positive Tech Day в Санкт-Петербурге.

В восьми из десяти атак на промышленность (79%) было задействовано вредоносное ПО. В 42% из них использовались инфостилеры (троянское ПО для сбора конфиденциальных данных), в 37% — вредоносное ПО для удаленного управления, в 26% — шифровальщики.

«Основные цели злоумышленников, атакующих производственные предприятия, — промышленный шпионаж, вымогательство денег и нарушение технологических процессов, — отмечает Яна Авезова, старший аналитик исследовательской группы Positive Technologies. — Попытки проникнуть в инфраструктуру совершали 73% APT-группировок, действующих в СНГ. Начальный вектор проникновения чаще всего — это фишинговые письма с вредоносными вложениями. Приманками служат различные служебные документы: фейковые заказы, договоры, счета-фактуры, акты сверки. Иногда киберпреступники проникают через уязвимости на сетевом периметре, как в случае инцидента ИБ в одной российской энергетической компании. Эксперты PT CSIRT выяснили, что злоумышленники использовали уязвимость в шлюзе удаленного доступа к сети».

Шифровальщики нацелены на заводы и транспорт

Промышленные предприятия часто становились жертвами вымогателей — 21% от всех атак шифровальщиков. Недавний заметный инцидент связан с атакой на одно из крупнейших сельскохозяйственных предприятий в России. В апреле 2024 года злоумышленники проникли в инфраструктуру компании, вызвали сбои в работе и потребовали выкуп в размере 500 млн рублей. Наиболее распространенный вектор первоначального проникновения шифровальщиков — компрометация сетевого периметра организации (57%). Прежде всего речь идет об эксплуатации уязвимостей в публичных приложениях, к примеру в почтовых серверах Microsoft Exchange и Zimbra. Помимо того, злоумышленники попадают в инфраструктуру через службы удаленного доступа, используя легитимные учетные данные, приобретенные на теневых площадках.

Более трети (36%) атак шифровальщиков начинаются с фишинговых писем. Так, в I квартале 2024 года группа Werewolves[1] проводила массовые фишинговые кампании, рассылая вредоносные документы под видом досудебных претензий и актов сверок. Письма отправлялись в промышленные, финансовые и телекоммуникационные организации.

По мнению аналитиков Positive Technologies, большинство компаний в странах СНГ укрепляют IT-инфраструктуру выборочно. Для повышения устойчивости бизнеса к кибератакам необходимо придерживаться принципов результативной кибербезопасности: сформировать перечень недопустимых событий и осуществить кибертрансформацию — подготовить IT-инфраструктуру к отражению атак, создать центр мониторинга и противодействия киберугрозам, а также обучить сотрудников основам ИБ. Для анализа трафика в промышленных сетях и выявления действий злоумышленников и активности ВПО можно использовать PT Industrial Security Incident Manager, а также комплексное решение PT Industrial Cybersecurity Suite, которое позволяет обнаруживать злоумышленника на всех этапах развития атаки. Кроме того, следует регулярно проверять уровень киберустойчивости на платформах багбаунти и проводить киберучения.

Темы:ИсследованиеРейтингиPositive TechnologiesУгрозы
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Управление ИТ-активами в АСУ ТП: базовые задачи промышленной кибербезопасности
    Инвентаризация ИТ-активов в промышленных сетях – это фундаментальная задача, важность которой часто недооценивают. Без точных данных об оборудовании и ПО даже самые продвинутые средства защиты – межсетевые экраны, системы обнаружения атак или сканеры уязвимостей – не смогут работать эффективно.
  • Лишь 10% корпоративных систем поддерживают современную аутентификацию
    Последнее время стало модным говорить о беспарольном будущем. Отчеты, аналитика, блоги и форумы пестрят рассуждениями о том, как классические пароли уходят в прошлое, а на их смену приходят более удобные и безопасные способы входа в систему. Однако реальность, как это часто бывает, оказывается менее однозначной.
  • Как мониторинг рантайма позволяет снижать риски при использовании контейнеров
    Михаил Бессараб, руководитель продукта PT Container Security в Positive Technologies
    Рост использования контейнеризации в ИТ-продуктах и сервисах сложно опровергнуть, как и гипотезу о важности защиты такой инфраструктуры. Обычно для подтверждения этого приходится опираться на зарубежную статистику, которая, впрочем, не всегда соответствуют отечественной специфике.
  • Щедрость владельцев инфраструктуры не победить! Часть 3
    Денис Гойденко, руководитель PT ESC IR, Positive Technologies
    Киберинциденты – это не всегда про громкие утечки, сложные APT-группировки и технологии будущего. Иногда это про человеческие ошибки, странные управленческие решения и неожиданные повороты, которые могли бы стать отличным сюжетом для комедии, если бы не реальные последствия.
  • Мисконфигурации 2024 года
    Два из трех хостов, по статистике, имеют хотя бы одну ошибку в конфигурации, которая с высокой вероятностью может привести к успешной кибератаке. Специалисты проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 тыс. серверов и рабочих станций.
  • Как технологии EDR помогают SOC: теория и практика
    Рассмотрим, почему традиционные SOC могут не справляться с потоком событий ИБ и как современные технологии и продукты класса Endpoint Detection and Response (EDR) способны упростить работу аналитиков.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...