СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16 января
#ИБ

Рост киберугроз в немецком производстве: программы-вымогатели и уязвимости

Последние исследования фиксируют заметное увеличение кибер-атак, направленных на производственный сектор, в частности в Германии. Данные, собранные с помощью сервиса Any.Run, показывают, что производственные компании подвергаются всплеску инцидентов с тарифами нарушений, существенно превышающими средние показатели в других отраслях. Это ставит сектор в ряд приоритетных мишеней для программ-вымогателей и других продвинутых кампаний.

Ключевые выводы

  • Производственный сектор становится одной из главных целей для злоумышленников из‑за высокой ценности быстрой выгоды и чувствительности к простоям.
  • Атаки часто используют регионально-специфичные приманки и названия компаний, что повышает вероятность успешного заражения.
  • Задокументирован пример сложной кампании с использованием AsyncRAT — удалённого трояна (RAT), применяемого для получения контроля над системами.
  • В качестве эксплойтов злоумышленники эксплуатируют уязвимости и сервисы, в том числе WebDAV и уязвимость CVE-2024-43451.
  • Поисковые методы threat hunting и анализ доменов с фрагментами вроде «manufacturer» выявили чёткую корреляцию между такими доменами и операциями злоумышленников.

Методология и инструменты исследования

Аналитики использовали автоматизированные песочницы и методы threat hunting для проведения разведки и анализа. Это позволило:

  • определить и изучить реальные атаки против немецких промышленных фирм;
  • выявить сеть связанных вредоносных действий и отследить цепочки доставки вредоносов;
  • проанализировать схемы рассылки электронных писем и динамику распространения вредоносных документов;
  • найти более сотни соответствующих артефактов и несколько подозрительных доменов, прямо связанных с производственными процессами.

Конкретные наблюдения

Расследование показало, что злоумышленники комбинируют несколько приёмов:

  • использование целевых приманок, в том числе документов и писем с корпоративными названиями для повышения доверия;
  • сканирование и эксплуатация уязвимых сервисов (включая WebDAV) для доставки полезной нагрузки;
  • распространение Remote Access Trojans, в частности AsyncRAT, для установления постоянного контроля над инфрастуктурой;
  • регистрацию доменов, имитирующих производственные организации (например, содержащих «manufacturer»), что облегчает фишинг и социальную инженерию.

«Тактика, использующая названия компаний, наряду с эксплуатацией уязвимостей вроде WebDAV и CVE-2024-43451, является распространённым методом привлечения фирм‑производителей», — отмечают авторы исследования.

Почему производители особенно уязвимы

Производственные предприятия обладают рядом характеристик, которые делают их привлекательной целью:

  • сложная совокупность IT и OT-инфраструктур, требующая специализированных навыков для защиты;
  • высокая стоимость простоя производственных линий — у компаний низкая толерантность к остановкам, что повышает вероятность выплаты выкупа;
  • часто устаревшее ПО и слабая сегментация сетей между IT и OT;
  • активное использование внешних производителей и подрядчиков, усложняющее управление доступом и доверенными соединениями.

Рекомендации для организаций производственного сектора

Исходя из обнаруженных тенденций, аналитики предлагают ряд практических мер:

  • усилить мониторинг и threat hunting, включая регулярный анализ доменов и почтовых кампаний с региональной спецсоставляющей;
  • провести аудит и закрыть известные уязвимости, в том числе применить патчи для CVE-2024-43451 и ограничить доступ к сервисам, таким как WebDAV;
  • ввести строгую сегментацию между IT и OT, минимизировать прямой доступ и использовать контролируемые мосты для обмена данными;
  • периодически тестировать реагирование на инциденты и план действий на случай простоя производства;
  • обучать персонал распознавать целевые фишинговые сообщения и документ‑ловушки, особенно с упоминанием реальных названий компаний.

Вывод

Смена ландшафта угроз делает производственный сектор одной из приоритетных целей для киберпреступников. Комбинация целевых социальных инженерий, эксплуатации известных уязвимостей и использования инструментов вроде AsyncRAT требует от производителей более проактивных и адаптивных стратегий защиты. Постоянная бдительность, регулярный threat hunting и системное устранение уязвимостей остаются ключевыми элементами в снижении рисков и предотвращении катастрофических простоев.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: