Рансъмуер групите все по-често се използват като инструмент в геополитически конфликти, позволявайки на държави да оказват натиск върху противници чрез кибератаки, без официално да поемат отговорност за тях. Това, което доскоро беше основно финансово мотивирана киберпрестъпност, постепенно се превръща в механизъм за саботаж, влияние и стратегически натиск върху критична инфраструктура.
Експерти предупреждават, че границите между:
- държавни хакерски операции
- киберпрестъпни групи
- хактивисти
- рансъмуер екосистеми
стават все по-размити.
Иранските операции показват новия модел
Според анализатори операции, свързвани с Иран, ясно демонстрират как киберпрестъпност, шпионаж и индустриален саботаж започват да се преплитат.
Разследвания през последните месеци показват случаи, при които проирански хакери твърдят, че са променяли реални индустриални процеси, включително атаки срещу пшенични резерви и критични системи, свързани с хранителната сигурност.
Паралелно с това експерти от Trellix и Check Point Research отчитат рязко повишаване на координацията между кибератаки и реални военни конфликти в Близкия изток.
Рансъмуерът вече не е само изнудване
Според Джорджиана Шей кибероперациите между САЩ, Израел и Иран вече далеч надхвърлят класическия шпионаж.
Днес атаките комбинират:
- рансъмуер
- изтичане на данни
- саботаж
- фалшиви хактивистки кампании
- атаки срещу индустриални системи
- психологически натиск
Тя подчертава, че рансъмуерът започва да играе важна роля около 2020-2021 г., а след 2023 г. все по-често се използва като средство за принуда и дестабилизация.
Индустриалните системи са сред основните цели
Според експерти от Dragos и CPX най-застрашени са:
- енергийни компании
- водоснабдителни системи
- транспорт
- производство
- пристанища
- химическа индустрия
- здравни организации
Особено уязвими остават индустриалните среди, използващи:
- PLC контролери
- SCADA системи
- инженерни станции
- дистанционен достъп
- стари индустриални устройства
Експертите предупреждават, че атакуващите все по-често търсят не просто кражба на данни, а реално прекъсване на физически процеси.
Целта е оперативен хаос
Според Амит Хамер моделът на атаките показва ясна стратегия.
Атакуващите избират среди, в които дори малък киберинцидент може да доведе до:
- спиране на производство
- прекъсване на логистика
- проблеми с водоснабдяване
- блокиране на пристанища
- прекъсване на енергийни доставки
Той напомня, че още през 2020 г. са регистрирани опити за атаки срещу водната инфраструктура на Израел, което според него е било ранен сигнал, че кибероперациите преминават отвъд класическия шпионаж.
Изкуственият интелект ускорява атаките
Допълнителен риск идва от използването на генеративен ИИ в офанзивни операции.
Според Google Threat Intelligence Group свързани с Китай, Русия, Иран и Северна Корея групи вече използват големи езикови модели за:
- проучване на уязвимости
- създаване на фишинг кампании
- разработка на зловреден код
- автоматизация на атаки
- избягване на системи за засичане
Това значително ускорява целия цикъл на кибератаките.
Все по-трудно е да се различат държавни и криминални групи
Експертите подчертават, че разграничаването между:
- държавно спонсорирани атаки
- независими рансъмуер групи
- хактивисти
става изключително трудно.
Причината е, че:
- използват една и съща инфраструктура
- споделят инструменти
- работят с общи посредници
- използват сходни техники
- понякога преследват общи цели
Според анализаторите това позволява на държавите да поддържат т.нар. „правдоподобно отрицание“ – възможност да отричат официално участие в атаките.
Индустрията сменя стратегията си
Компаниите все повече осъзнават, че пълната превенция на атаки е практически невъзможна.
Затова фокусът постепенно се измества към:
- устойчивост
- бързо възстановяване
- непрекъсваемост на операциите
- изолиране на индустриалните мрежи
- защита на дистанционния достъп
- резервни системи за възстановяване
Особено в индустриалните среди възстановяването е много по-сложно, отколкото при стандартни ИТ системи.
OT възстановяването е различно от IT възстановяването
Експертите предупреждават, че при индустриалните среди не е достатъчно просто да се възстанови сървър.
Необходимо е сигурно и тествано възстановяване на:
- операторски панели
- SCADA сървъри
- инженерни станции
- производствени контролери
- стари индустриални системи
Затова организациите, които могат бързо да възстановят производството си, ще бъдат в значително по-добра позиция при бъдещи геополитически кибератаки.
Кибервойната навлиза в нов етап
Анализаторите предупреждават, че светът навлиза в период, в който кибероперациите все по-често ще бъдат използвани паралелно с политически и военни конфликти.
Рансъмуерът вече не е просто средство за печалба, а инструмент за:
- геополитически натиск
- саботаж
- психологическо въздействие
- дестабилизация на критична инфраструктура
Именно затова защитата на индустриалните системи се превръща в ключов елемент от националната сигурност.
