Компания Marlink опубликовала отчёт о глобальных угрозах кибербезопасности на море, подготовленный её собственным Центром мониторинга и реагирования на инциденты (SOC) на основе статистики, собранной в первой половине 2024 года. Документ показывает изменение тактики киберпреступников, которые всё чаще пытаются обойти ранее эффективные меры безопасности, используя новые инструменты.

Команда Threat Intelligence отметила ряд факторов, оказывающих значительное влияние на кибербезопасность морской инфраструктуры:

• Фишинг. Злоумышленники отправляют мошеннические электронные письма или сообщения, чтобы обманом получить пароли или финансовые данные. Основными инструментами здесь являются фишинговые ссылки в htm/html-документах и QR-коды, ведущие пользователей на страницы, где их просят ввести учётные данные для входа в систему, размещённую в трудноблокируемой инфраструктуре (например, Microsoft). Также отправители используют тайпсквоттинг и корпоративные адреса. Тактика фишинга включает использование открытых перенаправлений и обратных прокси-серверов.
• Вредоносное программное обеспечение общего назначения. Такое ВПО обычно широко распространяется киберпреступниками и часто используется в масштабных автоматизированных атаках. Например, популярен Agent Tesla — троянец удалённого доступа, который часто применяется для кражи информации, отмечают исследователи.
• DDoS-атаки. Они задействуют несколько систем, перегружающих целевой сервер или сеть чрезмерным трафиком, в результате чего ресурс становится недоступным для пользователей. DDoS-атаки критичны, если затрагивают портовую инфраструктуру и компании, занимающиеся морскими перевозками.
• Фишинговые домены и обход политик проверки подлинности писем отправителя. Киберпреступники часто используют тайпсквоттинг и имитируют легитимные веб-сайты, используя небольшие опечатки. Они пытаются обманом заманить пользователей на свои страницы, чтобы украсть информацию или распространить вредоносное ПО. Чаще всего от тайпсквоттинга страдают морские организации.
• Подбор паролей. Скамеры прибегают к методам подбора часто используемых паролей во многих учётных записях, чтобы избежать обнаружения и получить первичный несанкционированный доступ в систему. Исследователи отмечают, что чаще всего в выборку попадают учётные записи пользователей VPN-шлюзов.
• Сканирование и зондирование. Систематические проверки систем или сетей на наличие уязвимостей или открытых портов, которые могут быть использованы хакерами при атаках. Проверки также включают попытки нарушения защиты сервера приложений, неудачные попытки авторизации SSH, сканирование SQL и уязвимостей, проверку брандмауэра.

Эксперты Marlink напоминают, что своевременное реагирование на инциденты, бдительность и упреждающие меры защиты, повышение грамотности персонала и поддержание систем защиты в актуальном состоянии имеют решающее значение при построении стратегии кибербезопасности компании.