Pilz остановил производство на неделю из-за атаки шифровальщика

Немецкая компания Pilz, один из мировых лидеров в области промышленной автоматизации и безопасности, сообщила о принудительной остановке производственных мощностей и административных систем на одну неделю. Причиной стала атака программы-вымогателя (ransomware), которая поразила корпоративную IT-инфраструктуру.

По данным источников, близких к расследованию, инцидент был зафиксирован в конце прошлого месяца. Злоумышленники использовали неизвестный штамм шифровальщика, который быстро распространился по внутренним сетям, затронув серверы управления производственными процессами, ERP-систему и коммуникационные узлы. В результате Pilz была вынуждена полностью отключить все подключенные к интернету системы, включая линии сборки контроллеров безопасности PNOZ и модульных систем управления PSS 4000.

Технические подробности атаки

Эксперты по кибербезопасности, привлеченные для расследования, установили, что вектор атаки, вероятно, был связан с фишинговым письмом, которое обошло стандартные фильтры электронной почты. После проникновения вредоносное ПО выполнило следующие действия:

• Сканирование Active Directory для повышения привилегий до уровня администратора домена.
• Шифрование файлов баз данных SQL, используемых для хранения конфигураций PLC и истории заказов.
• Блокировка доступа к папкам с технической документацией и файлам CAD-проектов.

Компания задействовала резервные копии, хранящиеся на физически изолированных носителях. Восстановление заняло семь дней из-за необходимости проверки целостности каждого восстанавливаемого образа и переустановки операционной системы на всех зараженных серверах. Финансовые потери от простоя оцениваются в несколько миллионов евро, однако точные цифры не раскрываются.

Применение в России

Для предприятий российской промышленности, использующих оборудование Pilz (в частности, контроллеры безопасности PNOZmulti и системы мониторинга PSS 3000), данный инцидент служит серьезным сигналом. Учитывая, что многие российские заводы активно интегрируют системы безопасности Pilz в свои производственные линии, необходимо усилить меры защиты: внедрить сегментацию OT-сетей, строго ограничить доступ к системам управления из корпоративной IT-среды и регулярно проводить аудит на предмет фишинговых угроз. Рекомендуется также иметь актуальные офлайн-резервные копии конфигураций и прошивок контроллеров, чтобы минимизировать время простоя при аналогичных атаках.