Благодаря Echobot число атак на АСУ ТП в 2019 году выросло на 2000%

Екатерина Быстрова 12 Февраля 2020 - 14:05

Корпорации

Государство

Трояны

Таргетированные атаки

Атаки на АСУ ТП

...

Благодаря Echobot число атак на АСУ ТП в 2019 году выросло на 2000%

Согласно последнему отчёту IBM «2020 X-Force Threat Intelligence Index», в 2019 году количество атак на системы автоматизации технологических процессов (OT) резко возросло. Исследователи полагают, что причиной скачка стал IoT-вредонос Echobot.

Команда IBM отметила, что в сравнении с 2018 годом в 2019-ом число подобных атак выросло на целых 2000%. Более того, прошлый год отметился самым большим количеством таких инцидентов (когда-либо зафиксированным).

«Число OT-атак достигло своего пика. Вредоносные кампании, в ходе которых злоумышленники атакуют АСУ ТП, за год увеличились на 2000%. Это самая крупная цифра за последние три года, когда велась соответствующая статистика», — пишет IBM.

Если посмотреть на график, который мы приводим ниже, действительно создаётся впечатление, что киберпреступники приложили немало усилий для атак на автоматизированные системы управления технологическими процессами.

Как правило, злоумышленники стараются использовать уязвимости в АСУ ТП/SCADA, а иногда прибегают к техникам вроде «password spraying» — когда атакующий пытается получить доступ к большому количеству аккаунтов за счёт подбора часто используемых паролей.

Также исследователи уточнили, что атаки на АСУ ТП чаще всего совершались в рамках двух вредоносных кампаний, одну из которых контролировала киберпреступная группировка Xenotime, а вторую — Hive0016 (APT33).

Также в отчёте IBM можно найти интересную информацию относительно эксплуатации древних уязвимостей в продуктах Microsoft.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 26 Апреля 2024 - 15:38

Атаки на сайты Уязвимости сайтов Взлом сайтов Заражение веб-сайта Домашние пользователи

Критическая дыра в WordPress-плагине WP-Automatic используется в атаках

Киберпреступники пытаются использовать в атаках критическую уязвимость в плагине WP‑Automatic для сайтов на WordPress. В случае успешной эксплуатации брешь позволяет получить полный контроль над целевым веб-ресурсом.

Проблему, о которой идёт речь, отслеживают под идентификатором CVE-2024-27956. По шкале CVSS ей присвоили почти максимальный балл — 9,9.

«Уязвимость представляет собой возможность SQL-инъекции и создаёт серьёзные риски для владельцев веб-сайтов, поскольку злоумышленники могут получить несанкционированный доступ», — пишут специалисты WPScan в официальном уведомлении.

«Например, атакующие создают аккаунты с правами администратора, загружают вредоносные файлы и получают полный контроль над ресурсом».

По словам исследователей, проблема кроется в механизме аутентификации, реализованном в плагине WP-Automatic. Условный злоумышленник может обойти его с помощью SQL-запросов к базе данных.

В тех атаках, которые удалось отследить экспертам, CVE-2024-27956 используется для отправки несанкционированных запросов к БД и создания учётных записей уровня администратора (имена обычно начинаются на «xtw»).

После этого злоумышленники могут менять код и загружать любые файлы. В данных кампаниях атакующие устанавливают бэкдор и обфусцируют вредоносный код.

С 13 марта 2024 года команда Patchstack отследила уже 5,5 млн попыток эксплуатации CVE-2024-27956.