Cyfirma ipari jelentés Q2
A CYFIRMA jelentése szerint az energia- és közműszektor továbbra is az egyik legfontosabb célpontja az állami hátterű kiberműveleteknek, miközben a ransomware- és phishing-kockázat más kritikus ágazatokhoz képest mérsékeltebb maradt. A kutatás az elmúlt 90 nap külső fenyegetési környezetét vizsgálta APT-aktivitás, sérülékenységek, adatszivárgások, dark web aktivitás és zsarolóvírus-incidensek alapján.
Az energiaipar a megfigyelt APT-kampányok 66,6%-ában érintett volt, amivel a legintenzívebben célzott kritikus infrastruktúra-szektorok közé került. A domináns szereplők között kínai kötődésű csoportok jelentek meg, köztük a Mustang Panda, a Volt Typhoon, az APT41, a Hafnium, a Salt Typhoon, valamint a CYFIRMA által MISSION2074 néven követett klaszter. Emellett az észak-koreai Lazarus Group és az orosz Sandworm aktivitása is megfigyelhető volt.
A támadások földrajzilag széles körben oszlottak meg. A leggyakrabban érintett országok között Japán, az Egyesült Államok, az Egyesült Királyság, Ausztrália, Németország, India és Dél-Korea szerepeltek. A célpontok elsősorban internetre publikált webalkalmazások, operációs rendszerek, felhőszolgáltatások és kritikus infrastruktúra-elemek voltak.
A CYFIRMA 90 nap alatt 72 igazolt zsarolóvírus-áldozatot azonosított az energia- és közműszektorban, ami 63,6%-os növekedést jelent az előző időszakhoz képest. A legaktívabb csoportok a Qilin, az Akira, valamint az újonnan megjelent 0apt voltak. A kutatók ugyanakkor nem találtak bizonyítékot arra, hogy bármely ransomware-csoport kifejezetten az energiaszektorra specializálódott volna; a támadások többsége opportunista jellegű volt.
A sérülékenységi elemzés szerint az energiaszektor az összes iparág közül a 7. helyen állt, az összes azonosított iparág-specifikus sérülékenység 3,71%-ával. A kutatók szerint különösen a távoli kódfuttatási (RCE) hibák, az internetre publikált szolgáltatások és az OT/ICS környezetekhez kapcsolódó sebezhetőségek jelentik a legnagyobb kockázatot.
A jelentés szerint az elmúlt időszakban az OT/ICS rendszereket érintő támadások dominálták a fenyegetési képet, miközben megjelentek AI-támogatott műveletek és wiper kampányok is. A kutatók arra számítanak, hogy a következő 90 napban az energiaszektor fenyegetettségi szintje továbbra is emelkedett marad, elsősorban a kínai állami hátterű kiberkémkedési aktivitás és a kritikus infrastruktúrák stratégiai jelentősége miatt.
A jelentés alapján az energiaipar elsődleges kockázatát jelenleg nem a ransomware, hanem a hosszú távú állami kiberkémkedési és infrastruktúra-felderítési műveletek jelentik. A legfontosabb védelmi prioritások az internetre publikált rendszerek sérülékenységkezelése, az OT–IT szegmentáció, a felhőszolgáltatások monitorozása és az APT-kampányok korai felismerése.
