Les attaques contre les infrastructures critiques se multiplient, en particulier dans l'automatisation des bâtiments et l'industrie pétrolière et gazière. Il y a encore des tendances dangereuses au premier semestre : les attaques ciblées et les ransomwares. Les vers, en particulier, servent de vecteur d'attaque dans l'industrie pétrolière et gazière.
Au cours des six premiers mois de 2020, le pourcentage de systèmes attaqués dans l'industrie pétrolière et gazière et dans l'automatisation des bâtiments a augmenté par rapport au second semestre de 2019, selon une récente enquête de Kaspersky. Même si les attaques contre les systèmes de contrôle industriels (ICS, systèmes de contrôle industriels) dans d'autres secteurs ont légèrement diminué, les experts de Kaspersky ont identifié une tendance dangereuse : les cybercriminels s'appuient moins sur des attaques de masse à grande échelle et davantage sur des attaques ciblées. En outre, il y a eu davantage d'attaques de ransomwares sur les systèmes ICS, en particulier dans le secteur de la santé au cours de la période sous revue.
Le cyberespionnage est souvent à l'origine d'attaques
Les attaques contre les entreprises industrielles sont dangereuses car elles peuvent menacer à la fois des perturbations de la production et des pertes financières. Les attaques sont de plus en plus ciblées et sont menées par des attaquants hautement spécialisés disposant de ressources importantes, qui visent non seulement le gain financier mais aussi le cyberespionnage.
Au premier semestre 2020, les industries de l'automatisation des bâtiments et du pétrole et du gaz ont été les plus fréquemment attaquées. Les cyberattaques contre ces derniers peuvent être particulièrement dommageables pour les entreprises compte tenu des pertes financières massives déjà causées par la pandémie actuelle. La proportion d'ordinateurs ICS bloqués par des objets malveillants a augmenté
- de 38 % au second semestre 2019 à 39,9 % au premier semestre 2020 dans le secteur de l'automatisation des bâtiments
- et de 36,3 à 37,8 % dans l'industrie pétrolière et gazière.
L'automatisation des bâtiments ciblée par les attaquants
Les systèmes d'automatisation des bâtiments sont généralement plus vulnérables aux attaques car ils sont plus connectés aux réseaux d'entreprise et à Internet en général que, par exemple, un ordinateur ICS dans l'industrie pétrolière et gazière. De plus, ces systèmes ne sont pas toujours gérés par l'équipe interne de sécurité de l'information, mais par des sous-traitants, ce qui en fait une cible plus facile.
L'augmentation des attaques contre les ordinateurs ICS dans l'industrie pétrolière et gazière peut être attribuée au développement d'une variété de vers dans les langages de script Python et PowerShell. Ces vers sont des programmes malveillants qui se répliquent sur l'appareil infecté. Ils sont capables de collecter des identifiants d'authentification à partir de la mémoire du processus système à l'aide de différentes versions du programme Mimikatz [2].
Tendances : attaques ciblées et davantage d'attaques de rançongiciels contre les ICS
L'augmentation des attaques dans l'industrie pétrolière et gazière ainsi que dans l'automatisation des bâtiments a été l'exception au premier semestre 2020 : la proportion de systèmes attaqués dans la plupart des autres industries a légèrement diminué [3]. Cependant, une tendance dangereuse est en train d'émerger : les attaquants peuvent avoir déplacé leur attention des attaques de masse vers des menaces plus ciblées et sophistiquées telles que les portes dérobées (chevaux de Troie dangereux qui prennent le contrôle à distance de l'appareil infecté), les logiciels espions (programmes malveillants de vol de données) ou les rançongiciels. (qui volent des données et des systèmes cryptés). Il y avait beaucoup plus de types de portes dérobées et de logiciels espions sur la plate-forme .NET qui ont été détectés et bloqués sur les ordinateurs ICS. Le pourcentage d'ordinateurs ICS touchés par des ransomwares basés sur des ransomwares a légèrement augmenté au premier semestre 2020 par rapport au deuxième semestre 2019 dans tous les secteurs, avec une série d'attaques contre des établissements médicaux et des entreprises industrielles observées.
De nombreuses entreprises sont obligées de travailler à distance
"Le pourcentage d'ordinateurs ICS attaqués est en baisse dans la plupart des industries", a déclaré Evgeny Goncharov, chercheur en sécurité chez Kaspersky. « Cependant, il y a encore des menaces à affronter. Plus les attaques sont ciblées et sophistiquées, plus elles sont susceptibles d'infliger des dégâts importants, même si elles se produisent moins fréquemment. De plus, de nombreuses entreprises sont obligées de travailler à distance et de se connecter aux systèmes de l'entreprise depuis leur domicile, ce qui rend les systèmes de contrôle industriels plus vulnérables aux cybermenaces. Avec moins de personnel sur place, moins de personnes sont disponibles pour répondre et contrer une attaque, ce qui signifie que les conséquences peuvent être bien plus dévastatrices. Étant donné que les infrastructures pétrolières et gazières et d'automatisation des bâtiments semblent être une cible populaire pour les attaquants, il est essentiel que ces propriétaires et opérateurs de systèmes mettent en œuvre des mesures de sécurité supplémentaires.
Recommandations de Kaspersky pour la protection contre les menaces contre les infrastructures critiques
- Mettre à jour régulièrement les systèmes d'exploitation et les logiciels d'application qui font partie du réseau industriel de l'entreprise. Les correctifs et correctifs pour l'équipement réseau ICS doivent être installés dès qu'ils sont disponibles.
- Effectuez des audits de sécurité réguliers des systèmes OT pour identifier et éliminer les vulnérabilités potentielles.
- Déploiement de solutions ICS dédiées pour surveiller, analyser et détecter le trafic réseau pour une meilleure protection contre les attaques susceptibles de compromettre le processus technologique et les actifs clés de l'entreprise.
- Fournir une formation dédiée à la sécurité ICS pour les équipes de sécurité informatique et les ingénieurs OT afin d'améliorer la réponse aux techniques d'attaque nouvelles et avancées.
- L'équipe de sécurité responsable de la protection des systèmes de contrôle industriels doit toujours avoir accès à des informations à jour sur les menaces. Le service de rapport ICS Threat Intelligence de Kaspersky [4] fournit des informations sur les menaces et les vecteurs d'attaque actuels, ainsi que sur les éléments les plus vulnérables des systèmes de contrôle OT et industriels et sur la manière de les atténuer.
- Utilisez des solutions de sécurité pour les terminaux et les réseaux OT tels que Kaspersky Industrial Cybersecurity [5] afin d'assurer une protection complète pour tous les systèmes pertinents pour l'industrie.
- En outre, l'infrastructure informatique doit également être protégée. Kaspersky Integrated Endpoint Security [6] protège les terminaux de l'entreprise et permet la détection et la réponse automatiques aux menaces.
Des résultats supplémentaires du rapport Kaspersky ICS CERT pour le premier semestre 2020 sont également disponibles en ligne.
En savoir plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/