20 мая 2020

Киберинциденты в промышленных компаниях в первой половине мая: Stadler, Elexon, BlueScope

В первой половине мая произошло сразу несколько кибератак, затронувших организации различных отраслей промышленности.

7 мая 2020 года о кибератаке на свои промышленные объекты сообщил швейцарский производитель поездов Stadler. Согласно заявлению компании, некоторые компьютеры корпоративной сети были заражены вредоносным ПО, со скомпрометированных устройств были украдены данные. Злоумышленники, стоящие за атакой, связались с представителями компании и потребовали выкуп, угрожая опубликовать похищенную информацию в случае неуплаты.

Компания обратилась в соответствующие органы власти и привлекла для расследования инцидента внешних ИБ-специалистов. Для восстановления функционирования всех затронутых систем использовались резервные копии. Производственные процессы компании в результате атаки не пострадали.

Какое именно вредоносное ПО использовалось в атаке, не сообщалось. Однако требование выкупа и необходимость восстановления систем с использованием резервных копий указывает на то, что, вероятнее всего, компания Stadler стала жертвой атаки программы-вымогателя.

14 мая о заражении своих ИТ-систем вредоносным ПО сообщила крупная электроэнергетическая компания Великобритании Elexon. В результате атаки пострадали только системы внутренней IT-сети компании, включая почтовую систему, и ноутбуки. Ключевые информационные сервисы и системы электроснабжения не были затронуты кибератакой.

В сообщении, опубликованном позже в тот же день, компания заявила, что уже определила основную причину инцидента и работает над восстановлением систем.

Как и в предыдущем инциденте, существует мнение, что Elexon подверглась атаке вымогательского ПО.

По данным сканирования компании Bad Packets за март 2020 года, для удаленного доступа сотрудников к внутренней сети компании через интернет в Elexon использовалась устаревшая версия SSL VPN-сервера Pulse Secure, которая была подвержена уязвимости CVE-2019-11510. Эта уязвимость часто использовалась киберпреступниками для проникновения в корпоративные сети и заражения их вымогательским ПО.

15 мая, стало известно об атаке на металлургический концерн BlueScope, которая вызвала сбои в работе некоторых предприятий.

Киберинцидент был обнаружен в одной из компаний в США. Помимо компаний в Северной Америке атака незначительно затронула предприятия в Азии и новой Зеландии. Сильнее всего от атаки пострадали производственные и торговые операции в Австралии: некоторые процессы были приостановлены, а другие, включая отправку стали, осуществлялись преимущественно без использования средств автоматизации. Другие подробности атаки пока не сообщаются.

Источники: Stadler, Elexon, ZDNet, BlueScope