Почти две трети атак на промышленность связаны с вредоносным кодом

Яков Шпунт 25 Сентября 2024 - 22:26

...

Как показала статистика работы центра противодействия кибератакам Solar JSOC ГК «Солар», 60% всех киберинцидентов в промышленности с начала 2024 года связаны с попытками заражения инфраструктур вредоносными программами.

Еще 14% инцидентов связаны с прочим нелегитимным софтом (например, майнерами), а каждый девятый – с эксплуатацией веб-уязвимостей.

ИТ-инфраструктуры промышленных организаций должны располагаться в отдельном контуре, который изолирован от публичного интернета. Однако данное требование выполняется не всех компаниях. В этом случае даже атака обычного шифровальщика на компьютер рядового офисного сотрудника может нанести серьёзный ущерб промышленному сегменту.

В результате в 5% организаций всевозможные зловреды были обнаружены на критически важных узлах, содержащих значимую и конфиденциальную информацию, а также тех, с которых можно получить доступ к технологическим системам.

«Помимо массовых зловредов, хакеры используют для атак на промышленные инфраструктуры специализированный вредоносный софт, который предназначен именно для уничтожения сегментов АСУ ТП. Такие вирусы хорошо известны: Industroyer, Trisis, Nikowiper, Fuxnet и др.

Кроме того, во многих сложных целевых атаках (с которыми чаще других сталкиваются владельцы критической инфраструктуры) вредоносное ПО может быть лишь одним из нескольких инструментов для продвижения злоумышленника по сети. Поэтому факт блокировки вредоноса не обязательно означает устранение угрозы», — уточнил директор центра противодействия кибератакам Solar JSOC Владимир Дрюков.

Еще 14% подтвержденных инцидентов в промышленных сетях связано с использованием нелегитимного ПО. Такой сценарий необходимо отслеживать, чтобы выявить в сети компании различный инструментарий, которым могут пользоваться злоумышленники. К последнему может относиться пиратский софт, запрещенные в организации программы, майнеры криптовалют.

Именно майнеры сервис мониторинга Solar JSOC фиксировал в промышленных сетях чаще всего. Это связали с тем, что инфраструктуры предприятий, с одной стороны, имеют сложную географически распределенную сеть, которую крайне сложно полностью контролировать. С другой, вычислительных мощностей на таких предприятиях достаточно для майнинга.

Среди хакерских утилит, которые были обнаружены мониторингом, также можно отметить средства удаленного доступа (RAT), с помощью которых на компьютере жертвы можно выполнять разные команды. Еще в нескольких инцидентах был зафиксирован запуск TOR.

Закрывает ТОП-3 угроз в промышленности эксплуатация уязвимостей. На эту категорию пришлось 11% подтвержденных инцидентов. Часто сегменты АСУ ТП имеют веб-интерфейс, доступный из интернета, и злоумышленники могут пытаться эксплуатировать уязвимости в нем. В практике центра исследования киберугроз Solar 4RAYS недавно был такой случай: группировка Lifting Zmiy использовала изъяны в безопасности доступного из интернета промышленного оборудования для размещения серверов управления вредоносами.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!