Промышленность и инженерия опередили финансовую сферу по доле кибератак
Отрасли стали самыми атакуемыми после госсектора.
По данным BI.ZONE Threat Intelligence, с начала года на долю промышленности и инженерии в совокупности пришлось 12% кибератак. Таким образом, сфера заняла второе место среди наиболее атакуемых, уступая только государственным организациям (13% атак) и опередив финансовую отрасль и логистику. На долю последних с начала года пришлось по 11% кибератак.
В настоящее время на российские промышленные и инженерные предприятия нацелены 63 кибергруппировки. У 32 из этих кластеров основная мотивация — шпионаж. Такие злоумышленники, как правило, активно разрабатывают и развивают собственные вредоносные инструменты, выстраивают сложные цепочки атак, поскольку их цель — скрытно присутствовать в инфраструктуре как можно дольше, незаметно похищая конфиденциальные данные.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence, говорит: «В октябре — ноябре этого года мы зафиксировали серию атак на российские промышленные и инженерные организации со стороны шпионского кластера Arcane Werewolf. Под видом деловой переписки злоумышленники отправляли жертвам ссылки с вредоносным ПО. Свою маскировку атакующие в этот раз продумали особенно тщательно: сетевой ресурс, откуда загружалась вредоносная программа, они замаскировали под сайт организации из той же группы компаний, на которую была нацелена атака».
Перейдя по ссылке из фишингового письма, жертва видела страницу, замаскированную под корпоративный файлообменник. Страница была выполнена в том же стиле и тех же цветах, что и настоящий сайт компании, за представителей которой выдавали себя злоумышленники. Для большей достоверности на странице «файлообменника» присутствовал также логотип предприятия, а адрес сайта по написанию был очень похож на официальные ресурсы организации. Из «файлообменника» на устройство жертвы скачивался ZIP-архив. Внутри архива было несколько фотографий оборудования, а также вредоносный LNK-файл, замаскированный под служебный документ в формате PDF.
Если пользователь открывал «документ», с сетевого ресурса злоумышленников загружался и затем запускался дроппер. Эта вредоносная программа несла в себе отвлекающий файл в виде официального документа (отчета о проведенной ревизии, уведомления о внутреннем расследовании и пр.), а также еще одну вредоносную программу — загрузчик Loki. Он собирал базовую информацию о скомпрометированном хосте (имя устройства и пользователя, версию ОС, внутренний IP-адрес и т. д.) и отправлял ее злоумышленникам, а также загружал с сервера и запускал имплант Loki. Имплант, в свою очередь, выполнял функции трояна удаленного доступа, позволяя атакующим скрытно выполнять на устройстве жертвы различные команды.
Ранее в этом году специалисты BI.ZONE Threat Intelligence фиксировали атаки на российскую промышленность с использованием уязвимости в популярном архиваторе WinRAR. Предположительно, злоумышленники приобрели для нее эксплоит на теневом форуме, заплатив около 80 тысяч долларов.
Чтобы защититься от подобных атак, важно не только обнаружить попытку проникновения в сеть, но и вовремя нейтрализовать угрозу. Для этого используются решения класса endpoint detection and response, например BI.ZONE EDR. А получить данные об актуальных кибератаках, злоумышленниках, их тактиках, техниках, используемых инструментах и эксплуатируемых уязвимостях помогут порталы киберразведки, например BI.ZONE Threat Intelligence. Эти данные позволят проактивно защититься и быстро реагировать на возникающие инциденты кибербезопасности.
О компании
BI.ZONE — компания по управлению цифровыми рисками, которая помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1600 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 800 клиентов.
