Cronos Asia

Злоумышленники используют новые тактики для кражи учётных записей из сетей АСУ

Злоумышленники используют новые тактики для кражи учётных записей из сетей АСУ

В 2021 году специалисты Kaspersky ICS CERT выявили растущее множество атак с применением шпионского ПО на компьютеры АСУ по всему миру. Злоумышленники используют широко распространённое шпионское ПО, но сами атаки отличаются ограниченным числом целей и очень коротким жизненным циклом каждого вредоносного образца.

Продолжительность атак, как правило, не превышает 25 дней. Это гораздо меньше, чем обычно длятся подобные кампании. Каждый экземпляр вредоносного ПО обнаруживается на нескольких десятках компьютеров, из которых 40-45% имеет отношение к АСУ, а остальные являются частью IT-инфраструктуры тех же организаций.

Подобные атаки получили большое распространение. Примерно пятая часть (21%) всех образцов шпионского ПО, заблокированных в первом полугодии 2021 года на компьютерах АСУ, относилась к такому типу. В то же время среди всех компьютеров АСУ, атакованных шпионским ПО, до одной шестой части подверглись атакам с применением этой тактики.

Чаще всего зловреды распространяются через качественно составленные фишинговые письма. Злоумышленники используют корпоративные почтовые системы атакованных компаний для рассылки фишинговых писем по спискам контактов, украденным из взломанных почтовых ящиков. Таким образом атака распространяется в локальной сети организации и от одной компании к другой — под видом деловой переписки. Во многих случаях взломанные корпоративные почтовые ящики используются злоумышленниками также в качестве серверов сбора данных, украденных в последующих атаках.

SMTP-сервисы более чем 2000 промышленных предприятий во всём мире были использованы злоумышленниками в качестве инфраструктуры сбора украденных данных и распространения вредоносного ПО. При этом корпоративных почтовых аккаунтов было скомпрометировано и похищено гораздо больше — по экспертной оценке, около 7000.

Эксперты «Лаборатории Касперского» выявили 25 торговых площадок, на которых злоумышленники продавали логины и пароли, в том числе, вероятно, похищенные и в ходе этих атак. Проанализировав предложения злоумышленников, они установили, что наиболее ценным «товаром», как и следовало ожидать, оказываются учётные данные, обеспечивающие доступ к внутренним системам предприятий, например, по RDP. 4% всех продаваемых на момент исследования RDP-аккаунтов принадлежали промышленным предприятиям, что составило без малого 2000 аккаунтов.

«На протяжении 2021 года мы наблюдали быстрорастущий тренд в ландшафте угроз для промышленных предприятий. Злоумышленники сокращают масштаб атаки и время использования каждого образца, быстро заменяя его на новый в каждой следующей атаке. Ещё одна тактика — рассылка фишинговых писем и сбор украденных данных без использования вредоносной или недоверенной инфраструктуры. И для того, и для другого используется почтовая система ранее скомпрометированных организаций — деловых партнёров новых жертв злоумышленников. Угроза действительно значительная и заслуживает особого внимания», — комментирует Кирилл Круглов, эксперт команды Kaspersky ICS CERT.

Для обеспечения надлежащей защиты промышленного предприятия, партнёрской сети и бизнеса в целом «Лаборатория Касперского» рекомендует компаниям:


Любое использование материалов допускается только при наличии гиперссылки на cronos.asia.

Подписывайтесь на Telegram-канал Central Asia Cronos и первыми получайте актуальную информацию!

Exit mobile version