Les attaques de ransomwares contre les organisations industrielles ont bondi par 87% au cours de la dernière année, tandis que de nouvelles familles de logiciels malveillants conçues spécifiquement pour les environnements OT ont émergé. Ces résultats mettent en évidence une tendance troublante: les systèmes OT deviennent de plus en plus des objectifs traditionnels, et même les acteurs de menace sophistiqués utilisent des tactiques relativement peu sophistiquées pour infiltrer et perturber les opérations industrielles.
Les groupes parrainés par l’État se sont intégrés dans des infrastructures critiques, tandis que les hacktivistes et les cybercriminels exploitent les vulnérabilités connues, les configurations d’accès à distance faibles et les actifs OT exposés. Un manque persistant de visibilité dans les environnements OT continue d’obscurcir la pleine échelle de ces attaques. Ces idées proviennent du rapport de cybersécurité de Dragos 2025 OT / ICS, sa huitième année annuelle en revue, qui analyse les cyber-menaces des organisations industrielles.
«Nous avons vu des organisations mettre en œuvre une segmentation des réseaux plus forte, améliorer la visibilité dans leur environnement OT et développer des capacités de réponse aux incidents plus robustes. Ces mesures proactives rendent plus difficile pour les adversaires de fonctionner non détectés et sont essentiels à la résilience à long terme de la cybersécurité industrielle », a déclaré Robert M. Lee, PDG de Dragos.
Graphite et bauxite des groupes de cyber-menaces
BAUXITE a été impliqué dans plusieurs campagnes mondiales ciblant les entités industrielles et les appareils spécifiques. Ce groupe partage des chevauchements techniques substantiels, basés sur les capacités et les infrastructures de réseau, avec le Hacktivist Persona CyberAV3NGERS, qui a des affiliations explicites avec le Corps de la Garde révolutionnaire iranienne – Cyber and Electronic Command (IRGC-CEC), comme le rapporte le gouvernement américain.
Depuis la fin de 2023, les Dragos ont observé quatre campagnes de bauxite, y compris celles avec des impacts de la chaîne ICS de stade 2 via des compromis triviaux des dispositifs exposés. Les victimes confirmées de bauxite se trouvent aux États-Unis, en Europe, en Australie et au Moyen-Orient dans de multiples secteurs d’infrastructures critiques, y compris l’énergie (pétrole et gaz naturel et électrique), l’eau et les eaux usées, les aliments et les boissons et la fabrication chimique.
GRAPHITE cible les entités des secteurs de l’énergie, du pétrole et du gaz, de la logistique et du gouvernement à travers l’Europe de l’Est et le Moyen-Orient. Le groupe a de solides chevauchements techniques avec APT28 et d’autres noms. Le graphite se concentre sur les organisations pertinentes pour la situation militaire en Ukraine. Observable Depuis l’invasion de l’Ukraine par la Russie en février 2022, cet objectif peut indiquer une sous-unité spécialisée ou une expansion des objectifs de la mission.
Le graphite a été identifié pour mener des campagnes de phishing de lance ciblant la production hydroélectrique et les opérateurs et installations de gazoducs naturels et des opérations de phishing quasi-constant utilisant des vulnérabilités connues et des logiciels malveillants sur des scripts personnalisés pour cibler les organisations dans des industries critiques à travers sa géographie ciblée.
Menaces de logiciels malveillants axés
Le développement de nouvelles souches de logiciels malveillants ciblant spécifiquement les systèmes de contrôle industriel (ICS) souligne un accent accrue adversaire sur la perturbation des opérations industrielles.
Fuxnet: Ce logiciel malveillant, attribué à un groupe de hacktiviste pro-ukraine blackjack, est conçu pour cibler les réseaux de capteurs industriels pour Moskollektor, une organisation municipale qui maintient le système de communication de Moscou pour un réseau de gaz, d’eau et d’eaux usées. À l’aide du malware FUXNET, Blackjack a prétendu désactiver des milliers de capteurs et détruire les appareils de passerelle de capteurs, ce qui les rend incapables de transmettre des informations.
Frostygoop: Identifié pour la première fois au début de 2024, FrostyGoop est un logiciel malveillant plus destructeur conçu pour manipuler les communications Modbus TCP / 502 dans les environnements ICS. Il peut modifier ou usurper les commandes de processus industriels normaux, lui permettant d’échapper aux logiciels antivirus et de causer des dommages physiques à l’infrastructure, comme le montre son attaque documentée contre l’approvisionnement énergétique des systèmes de chauffage district en Ukraine. Les logiciels malveillants ont provoqué des pannes de chauffage pour plus de 600 immeubles d’appartements en Ukraine en janvier 2024. L’enquête de Dragos sur FrostyGoop a révélé qu’il y avait plus de 46 000 appareils ICS exposés à Internet communiquant sur Modbus dans le monde.
Activité du groupe de menaces mises à jour
Voltzite est sans doute le groupe de menaces le plus crucial à suivre dans les infrastructures critiques. En raison de son accent dédié sur les données OT, le groupe est une menace capable pour les propriétaires et opérateurs d’actifs ICS. Ce groupe partage de vastes chevauchements techniques avec le groupe de menaces de Typhoon Volt-Typhoon suivi par d’autres organisations. Il utilise les mêmes techniques que les années précédentes, la mise en place de chaînes complexes d’infrastructure de réseau pour cibler, compromettre et voler des données OT pertinentes – des données GIS, des diagrammes de réseau OT, des instructions d’exploitation OT, etc. – des organisations ICS victimes de victime. La voltzite est une raison clé pour surveiller les réseaux OT et chasser l’activité malveillante. Avec une surveillance et une enquête minutieuses de la communication du réseau «impair», la voltzite peut être identifiée et défendue.
Kamacite Passé du seul ciblage de l’Ukraine en introduisant de nouvelles souches de logiciels malveillants basées sur les fenêtres et étendus et en élargissant les entités européennes du pétrole et du gaz naturel (ONG). Cela a coïncidé avec l’expiration d’un accord permettant à la société d’État russe Gazprom de fournir des gaz à l’Est et au Central Europe.
Électrum Continue des campagnes d’essuie-glace avec une nouvelle capacité, AcidPour, un binaire compilé pour les systèmes d’exploitation Linux qui peuvent rechercher et essuyer les répertoires d’images de blocs non triées (UBI) dans des appareils embarqués, y compris des appareils dans des environnements OT. AcidPour est une variante d’acidre mais avec une capacité étendue aux dispositifs de technologie de mémoire (MTD) souvent trouvés dans les systèmes intégrés. Dragos a déterminé que Electrum a utilisé les ressources et la réputation du Hacktivist Persona Solnetspek pour obscurcir ses activités opérationnelles lors de la cyberattaque de décembre 2023 contre Kievstar, le principal fournisseur de télécommunications de l’Ukraine.
Autres résultats clés
- Conflits géopolitiques carburant des cyber-opérations centrées sur les ot: Les adversaires alignés sur les initiatives soutenues par l’État ont continué de lancer des cyber opérations ciblant les infrastructures critiques en Ukraine, en Russie et au Moyen-Orient, souvent comme une extension directe des conflits militaires.
- Les groupes hacktivistes augmentent les attaques contre les infrastructures critiques: Les hacktivistes ont mis à profit de nouveaux vecteurs d’attaque pour cibler les environnements OT, perturbant les services publics d’énergie et d’eau tout en alignant leurs actions avec des motivations géopolitiques. En 2023 et au début de 2024, Dragos a observé une tendance de groupes hacktivistes, ou de groupes hacktivistes autoproclamés, ciblant et atteignant activement l’étape 2 de la chaîne de cyber-tue ICS contre les organisations industrielles et les infrastructures et services critiques dans le monde.
- Les acteurs de la menace parrainés par l’État et le hacktivisme convergent: L’augmentation de la collaboration entre les groupes hacktivistes et les cyber-acteurs soutenus par l’État a conduit à un modèle de menace hybride où les hacktivistes amplifient les objectifs de l’État, soit directement ou par l’infrastructure et l’intelligence partagées. Les acteurs de l’État cherchent de plus en plus à exploiter les groupes hacktiviste en tant que proxys pour effectuer des cyber-opérations dénaiables, permettant des attaques plus agressives avec des risques d’attribution réduits.
- Les hacktivistes commencent à utiliser les ransomwares: Les groupes hacktivistes hacktiviste et autoproclamés utilisent désormais des ransomwares dans le cadre d’une évolution de leurs opérations contre une variété de cibles industrielles. Trois groupes notables hacktivistes utilisaient activement des ransomwares dans leurs opérations en 2024: Handala, Kill Security et Cybervolk.
- Des surtensions d’activité de ransomware: Le nombre de groupes de ransomwares ciblant les organisations industrielles a bondi à 80, une augmentation de 60% par rapport aux 50 groupes observés en 2023. Collectivement, ces groupes ont attaqué en moyenne 34 organisations industrielles par semaine au cours du premier semestre de 2024. Ce nombre a plus que doublé au cours du second semestre. La fabrication reste le secteur le plus touché, représentant plus de 50% des victimes de ransomwares observées. 25% des cas de ransomware ont observé des dragos impliquaient une fermeture complète d’un site OT, et 75% ont impliqué une perturbation des opérations dans une certaine mesure.
- Les vulnérabilités comportent un risque d’impact sur les processus industriels: En 2024, Dragos a constaté que 70% des vulnérabilités recherchées étaient profondément dans le réseau ICS, 39% pourraient provoquer à la fois une perte de vue et une perte de contrôle, et 22% des avis étaient exploités par le réseau et des périmètres, passant de 16% en 2023.
Amélioration de la résilience industrielle à la cybersécurité
Les adversaires ont évolué, tirant parti des méthodes d’attaque de plus en plus sophistiquées pour infiltrer les environnements industriels. Les données du rapport de cette année sont claires: les organisations qui prennent des mesures de sécurité proactives connaissent des temps de récupération plus courts, une réduction des pertes financières et des perturbations opérationnelles minimisées. La chasse aux menaces n’est plus une option – c’est une nécessité.
Les organisations industrielles doivent aller au-delà des mesures de sécurité réactives et adopter la chasse aux menaces en tant que stratégie de défense fondamentale. Les attaquants exploitent les vulnérabilités connues, les faiblesses d’accès à distance et les lacunes de la chaîne d’approvisionnement à un taux d’accélération. Les organisations qui recherchent de manière proactive des menaces et des activités contradictoires dans leur environnement acquièrent un avantage crucial dans la prévention des attaques avant de dégénérer.
Les défenseurs ICS doivent être implacables. Les attaquants comme la voltzite sont déjà à l’intérieur des réseaux, et la capacité de les traquer avant de causer des dommages est la prochaine évolution de la cybersécurité industrielle. Maintenant, plus que jamais, il est temps de chasser.
