Trend Micro: ataki ransomware coraz bardziej zagrażają przemysłowym systemom sterowania

Firma Trend Micro Incorporated, opublikowała raport, w którym zwrócono uwagę na rosnące ryzyko przestojów i kradzieży danych wrażliwych w efekcie ataków ransomware na zakłady przemysłowe.

Realna zagrożenie dla przemysłu

Przemysłowe systemy sterowania (ang. Industrial Control Systems – ICS) odgrywają kluczową rolę w zakładach energetycznych, fabrykach i innych instalacjach, w których służą do monitorowania i kontroli procesów przemysłowych w sieciach IT i OT.

„Przemysłowe systemy sterowania są bardzo trudne do zabezpieczenia, dlatego powstaje w nich wiele luk, które ewidentnie są wykorzystywane przez przestępców z coraz większą determinacją” – powiedział Ryan Flores, kierownik ds. badania przyszłych zagrożeń w firmie Trend Micro. „Rząd Stanów Zjednoczonych traktuje obecnie ataki ransomware równie poważnie jak ataki terrorystyczne, mamy więc nadzieję, że nasze najnowsze badanie pomoże właścicielom zakładów przemysłowych określić priorytety i zmienić punkty ciężkości swoich systemów zabezpieczeń”.

Jeśli do systemów tych przedostanie się oprogramowanie ransomware, może to uniemożliwić działanie zakładu przez wiele dni i zwiększyć ryzyko, że projekty, programy i inne dokumenty poufne trafią do internetowego podziemia.

Źródła i metody ataków

Z raportu firmy Trend Micro wynika, że warianty Ryuk (20 proc.), Nefilim (14,6 proc.), Sodinokibi (13,5 proc.) i LockBit (10,4 proc.) odpowiadały w 2020 r. za ponad połowę infekcji ransomware w systemach ICS.

Raport wykazał również, że:

  • Cyberprzestępcy infekują punkty końcowe ICS z systemami operacyjnymi, w których nie zainstalowano poprawek zabezpieczających przed eksploitem EternalBlue, i wykorzystują je do kopania kryptowalut.
  • W punktach końcowych ICS z nowszymi systemami operacyjnymi pojawiają się warianty robaka Conficker, a do ich rozprzestrzeniania stosowane są ataki siłowe na udziały administracyjne.
  • Szkodliwe oprogramowanie starszego typu, takie jak Autorun, Gamarue i Palevo, które wciąż jest często spotykane w sieciach IT/OT, jest rozprzestrzeniane za pomocą napędów wymiennych.

Trend Micro zwraca uwagę, że z geograficznego punktu widzenia, niektóre rodzaje zagrożeń dotykają pewne kraje bardziej niż inne. USA miały na przykład największą liczbę organizacji dotkniętych oprogramowaniem ransomware. Z kolei starsze, złośliwe oprogramowanie (w szczególności robaki na dyskach wymiennych i wirusy infekujące pliki) było najczęściej wykrywane w Indiach, Chinach, USA i na Tajwanie. W Indiach wykryto też najwięcej złośliwego oprogramowania coinminer, Equated malware oraz WannaCry ransomware. Natomiast Japonia ma największą liczbę infekcji Emotetem.

Sposoby na obronę

W raporcie Trend Micro zwraca uwagę na potrzebę ściślejszej współpracy między zespołami zabezpieczeń IT i OT, co pozwala wskazać kluczowe systemy i zależności, takie jak kompatybilność systemów operacyjnych i wymagania dotyczące czasu pracy, oraz opracować skuteczniejsze strategie bezpieczeństwa.

Ponadto z listy możliwych sposobów obrony firma zaleca następuję aktywności:

  • Niezwłoczne instalowanie poprawek, co ma newralgiczne znaczenie. Jeśli nie jest to możliwe, należy zastanowić się nad segmentacją sieci lub stosowaniem poprawek wirtualnych udostępnianych przez dostawców, w tym firmę Trend Micro.
  • Aby nie dopuścić do infekcji oprogramowaniem ransomware po włamaniu, należy wyeliminować jego pierwotne przyczyny za pomocą oprogramowania do kontroli aplikacji oraz narzędzi do wykrywania zagrożeń i reagowania na nie, które pozwalają przeskanować środowisko pod kątem występowania symptomów ataku (tzw. IOC).
  • Należy ograniczyć dostęp do udziałów sieciowych i wprowadzić politykę silnych haseł, aby zapobiec nieautoryzowanemu dostępowi za pomocą danych uwierzytelniających zdobytych przy użyciu algorytmów siłowych.
  • Aby ustalić normalne zachowanie sieci i na tej podstawie lepiej wykrywać podejrzane zachowania, warto stosować system wykrywania włamań (IDS) lub zapobiegania włamaniom (IPS).
  • Warto skonfigurować system dedykowany do skanowania pamięci przenośnych wykorzystywanych do przenoszenia danych między fizycznie odizolowanymi punktami końcowymi.
  • Administratorzy i operatorzy sieci OT powinni być objęci zasadą najmniejszych uprawnień.

Z całym raportem ”2020 Report on Threats Affecting ICS Endpoints” można zapoznać się  tutaj: https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/2020-report-ics-endpoints-as-starting-points-for-threats.

Podczas konferencji „Przemysł 4.0”, która odbyła się 18 listopada, Michał Przygoda, inżynier sprzedaży w Trend Micro, omówił wnioski i zalecenia dotyczące skutecznej ochrony infrastruktury ICS na podstawie badania ”2020 Report on Threats Affecting ICS Endpoints” oraz bazy wiedzy MITRE ATT&CK for ICS. Z wystąpieniem można zapoznać się tutaj: https://www.youtube.com/watch?v=koUdrTDKX6E.

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.