Киберпрестъпниците все по-старателно се насочват към индустриални системи за контрол, които управляват критични инфраструктури. Това, обяснимо, е породено от апетита за солидни плащания.
Напоследък рансъмуер атаките често се прицелват в унаследени системи за индустриален контрол (ICS) и е нужно много по-голямо усилие да подсигуряване на мрежите в промишлени съоръжения срещу заплахата от прекъсване на работата. А то, прекъсването, е основна цел на киберпрестъпниците, опитващи се да спечелят пари чрез изнудване.
Доклад на изследователи по киберсигурността от Trend Micro предупреди наскоро, че рансъмуерът е „източник на тревога и бързо развиваща се заплаха за ICS в световен мащаб” със значителен ръст на активността през последната година. Мотивът за рансъмуер атаките е прост – печелене на пари, отбелязва ZDNet.
Киберпрестъпниците знаят, че засягайки индустриалните системи за контрол, използвани за управление на фабрики и производствени среди, които разчитат на непрекъснат процес на работа, имат голям шанс да получат пари – много и бързо.
Тези мрежи и мрежите, които поддържат комунални услуги като водата и електроенергията, трябва да бъдат напълно и постоянно работещи. Колкото по-дълго не работи подобна мрежа, толкова повече смущения и загуби ще има предприятието. Затова жертвата на рансъмуер атака може да вземе решението да отстъпи и да се съгласи на искането за откуп.
„Подземната икономика на киберпрестъпността е голям бизнес както за операторите на рансъмуер, така и за филиалите им. Системите за индустриален контрол, особено тези в критични национални инфраструктури, производствени и други съоръжения, се разглеждат като „меки цели”, като много системи все още работят със стари операционни системи и „незакърпени” приложения. Всяко увреждане на подобна система може да предизвика дни, ако не и седмици прекъсване на работата”, казва Бхарат Мистри, технически директор в Trend Micro.
Някои от пресните примери за успешни рансъмуер кампании като атаката срещу месопреработвателя JBS демонстрираха колко доходоносен може да бъде рансъмуерът. В конкретния случай киберпрестъпниците успяха да се сдобият с 11 милиона долара в биткойни.
Атаката спрямо Colonial Pipeline с рансъмуер също бе показателна: видя се как нападението срещу индустриална цел може да има съвсем реални последици за хората, тъй като доставките на бензин в голяма част от североизточната част на САЩ бяха ограничени.
Киберпрестъпниците, използващи много различни форми на рансъмуер, се целят в различни индустриални системи за контрол, но четири семейства рансъмуер представляват над половината от тези атаки. Това са Ryuk (отговорeн за една пета от атаките), Nefilm, REvil и LockBit.
За защита на крайните точки на ICS срещу рансъмуер и други кибератаки Trend Micro предлага няколко препоръки. На първо място е системите да бъдат „закърпени” с най-новите актуализации на сигурността – нещо, което се признава като „досаден”, но необходим процес. Тогава организациите могат да са спокойни, че киберпрестъпниците не могат да използват известни съществуващи уязвимости срещу вече налична защита.
Ако „закърпването” не е опция, тогава мрежата трябва да бъде сегментирана, за да се ограничат уязвимите индустриални системи за контрол от системите, свързани към интернет.
Също така се препоръчва ICS мрежите да бъдат защитени със силни комбинации от потребителско име и пароли, които е трудно да се пробият с „груби атаки”. Прилагането на многофакторно удостоверяване в мрежата също може да спомогне за повишаването на безопасността и защитата срещу неоторизирани прониквания.