Оглавление
Тенденции
От квартала к кварталу сохраняется относительная стабильность. Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, за квартал не изменилась и составила 21,9%. В последние три квартала этот показатель попадает в интервал между 22,0 и 21,9%.
От года к году квартальные показатели уменьшаются. После второго квартала 2023 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, была меньше аналогичного показателя предыдущего года.
Доля атакованных компьютеров АСУ в первом квартале 2025 года меньше, чем была в первом квартале 2024 года, на 2,5 п. п.
Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, I квартал 2022 года — I квартал 2025 года
С января по март 2025 года значения были наименьшими по сравнению со значениями в аналогичные месяцы предыдущих четырех лет.
Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, январь 2021 года — март 2025 года
Биометрические системы по-прежнему лидируют среди исследуемых отраслей. Это единственный тип OT-инфраструктур, где доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, увеличилась за квартал.
Данные по регионам по-прежнему значительно различаются. В первом квартале 2025 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, варьировалась от 10,7% в Северной Европе до 29,6% в Африке. В восьми регионах показатель попал в диапазон от 19% до 25%.
Уменьшается доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных. Доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных, снизилась в первом квартале 2025 года до наименьшего значения с 2022 года.
В первые три месяца 2025 года показатель был меньше, чем с января по март в предшествующие три года.
Доля компьютеров АСУ, на которых были заблокированы интернет-ресурсы из списка запрещенных, январь 2022 года — март 2025 года
Изменение показателей угроз первого этапа влияет на долю компьютеров АСУ, атакованных вредоносным ПО второго этапа. В первом квартале 2025 года впервые с начала 2023 года увеличилась доля компьютеров АСУ, на которых были заблокированы угрозы из интернета и угрозы, распространяемые через почту.
Интернет — главный источник угроз для компьютеров АСУ. Основные категории угроз из интернета, блокируемые на компьютерах АСУ, — это интернет-ресурсы из списка запрещенных, вредоносные скрипты и фишинговые страницы.
Основные категории угроз из электронной почты, блокируемые на компьютерах АСУ, — это вредоносные документы, шпионское ПО, вредоносные скрипты и фишинговые страницы.
Доля компьютеров АСУ, на которых были заблокированы вредоносные скрипты и фишинговые страницы и вредоносные документы, за квартал увеличилась. С января по март 2025 года месячные значения этих двух категорий угроз оказались выше, чем в аналогичный период 2024 года.
Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, январь 2022 года — март 2025 года
Лидирующая категория вредоносного ПО, используемого для первичного заражения компьютеров АСУ, — вредоносные скрипты и фишинговые страницы.
Большинство вредоносных скриптов и фишинговых страниц действуют как дропперы или загрузчики вредоносного ПО следующего этапа — шпионского ПО, криптомайнеров и программ-вымогателей. Сильная корреляция между показателями для скриптов и фишинговых страниц и программ-шпионов хорошо видна на графике ниже.
Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, январь 2023 года — март 2025 года
Показатели первых трех месяцев 2025 года у шпионских программ, как и у вредоносных скриптов и фишинговых страниц, выше, чем с января по март 2024 года.
Доля компьютеров АСУ, на которых были заблокированы майнеры (как веб-майнеры, так и майнеры — исполняемые файлы для ОС Windows), в первом квартале 2025 года также выросла.
Статистика по всем угрозам
В первом квартале 2025 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, не изменилась по сравнению с предыдущим кварталом и составила 21,9%.
Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, I квартал 2022 года — I квартал 2025 года
По сравнению с первым кварталом 2024 года доля атакованных компьютеров АСУ уменьшилась на 2,5 п. п. При этом от месяца к месяцу в течение первого квартала 2025 года этот показатель понемногу увеличивался и в марте достиг наибольшего значения за квартал.
Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, январь 2023 года — март 2025 года
В регионах доля компьютеров АСУ, на которых в течение первого квартала 2025 года были заблокированы вредоносные объекты, варьируется от 10,7% в Северной Европе до 29,6% в Африке.
В шести из 13 регионов, рассматриваемых в этом отчете, показатели увеличились по сравнению с предыдущим кварталом, больше всего этот рост в России.
Изменение доли компьютеров АСУ, на которых были заблокированы вредоносные объекты, I квартал 2025 года
Исследуемые отрасли
В первом квартале 2025 года рейтинг исследуемых отраслей и типов ОT-инфраструктур по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты, снова возглавили биометрические системы.
Рейтинг исследуемых отраслей по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты
Биометрические системы — единственный из исследуемых типов инфраструктур, где доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, незначительно увеличилась, тем не менее в долгосрочной перспективе показатель демонстрирует очевидный спад.
Разнообразие обнаруженных вредоносных объектов
В первом квартале 2025 года защитные решения «Лаборатории Касперского» заблокировали на системах промышленной автоматизации вредоносное ПО из 11 679 семейств, относящихся к различным категориям.
Доля компьютеров АСУ, на которых была предотвращена активность вредоносных объектов различных категорий
Наиболее заметно в первом квартале 2025 года выросла доля компьютеров АСУ, на которых были заблокированы веб-майнеры (по отношению к показателю предыдущего квартала в 1,4 раза) и вредоносные документы (в 1,1 раза).
Основные источники угроз
Возможность надежно определить источник угрозы зависит от сценария обнаружения и блокирования, поэтому она не всегда есть. Косвенным признаком того или иного источника может быть вид (категория) заблокированной угрозы.
Основными источниками угроз для компьютеров в технологической инфраструктуре организаций остаются интернет (обращения к вредоносным или скомпрометированным интернет-ресурсам; вредоносный контент, распространяемый через мессенджеры; облачные сервисы хранения и обработки данных и CDN), почтовые клиенты (фишинговые рассылки) и съемные носители.
В первом квартале 2025 года впервые с начала 2023 года увеличилась доля компьютеров АСУ, на которых были заблокированы угрозы из интернета и угрозы, распространяемые через почту.
В регионах показатели по источникам угроз варьируются:
Доля компьютеров АСУ, на которых были заблокированы угрозы из интернета, — от 5,2% в Северной Европе до 12,8% в Африке.
Доля компьютеров АСУ, на которых были заблокированы угрозы, распространяемые через электронную почту, — от 0,88% в России до 6,8% в Южной Европе.
Доля компьютеров АСУ, на которых угрозы были заблокированы при подключении съемных носителей, — от 0,06% в Австралии и Новой Зеландии до 2,4% в Африке.
Категории вредоносных объектов
Типовые атаки, блокируемые в сети АСУ, представляют собой многоступенчатый процесс, где каждый последующий шаг злоумышленников направлен на повышение привилегий и получение доступа к другим системам путем эксплуатации проблем безопасности промышленных предприятий, в том числе технологических инфраструктур.
Стоит отметить, что в ходе атаки злоумышленники часто повторяют одни и те же шаги (TTP), например, когда используют вредоносные скрипты и установленные каналы связи с инфраструктурой управления и контроля (C2) для горизонтального перемещения внутри сети и продвижения атаки.
Вредоносные объекты, используемые для первичного заражения
В первом квартале 2025 года доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных, снизилась до наименьшего значения с 2022 года.
Доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных, I квартал 2022 года — I квартал 2025 года
На снижение доли вредоносных и потенциально опасных веб-ресурсов, которое мы наблюдаем с ноября 2024 года, вероятно, повлияли не только решительные меры по противодействию угрозам, реализуемые на различных уровнях, но и используемые злоумышленниками техники обхода блокировки по репутации ресурса — нагрузка по защите таким образом перераспределяется на другие технологии детектирования.
Обнаруженный опасный интернет-ресурс не всегда может быть добавлен в список запрещенных, поскольку злоумышленники все чаще используют легитимные интернет-ресурсы и сервисы, например платформы доставки контента (CDN), мессенджеры и облачные хранилища. Подобные сервисы позволяют распространять вредоносный код по уникальным ссылкам на уникальный контент, затрудняя таким образом тактики блокировки по репутации. Настоятельно рекомендуем промышленным организациям предусмотреть блокировку подобных сервисов политикой как минимум для технологических сетей, где необходимость в таких сервисах крайне редко бывает обусловлена объективными причинами.
Показатели вредоносных документов, а также вредоносных скриптов и фишинговых страниц выросли, хотя и незначительно — до 1,85% (+0,14 п. п.) и 7,16% (+0,05 п. п.) соответственно.
Вредоносное ПО следующего этапа
Вредоносные объекты, которые используются для первичного заражения компьютеров, доставляют на компьютеры жертв вредоносное ПО следующего этапа. Как правило, это шпионское ПО, программы-вымогатели и майнеры. Обычно чем выше доля компьютеров АСУ, на которых блокируется вредоносное ПО первичного заражения, тем выше этот показатель и для вредоносного ПО следующего этапа.
В первом квартале 2025 года доля компьютеров АСУ, на которых были заблокированы шпионское ПО и программы-вымогатели, уменьшилась — на 0,1 п. п. (до 4,20%) и 0,05 п. п. (до 0,16%) соответственно. А вот показатели майнеров выросли: доля компьютеров АСУ, на которых были выявлены майнеры в формате исполняемых файлов для Windows, достигла 0,78% (+0,08 п. п.), а веб-майнеров — 0,53% (+0,14 п. п.). В последнем случае это максимальное значение с третьего квартала 2023 года.
Доля компьютеров АСУ, на которых были заблокированы веб-майнеры, I квартал 2022 года — I квартал 2025 года
Самораспространяющееся вредоносное ПО
Это черви и вирусы. Изначально черви и зараженные вирусами файлы использовались для первичного заражения компьютеров, но позднее, с развитием функциональности ботнетов, приобрели черты угроз следующего этапа.
Вирусы и черви распространяются в сетях АСУ через съемные носители, сетевые папки, зараженные файлы (в том числе бэкапы) и сетевые атаки на устаревшее ПО (например, Radmin2).
В первом квартале 2025 года доля компьютеров АСУ, на которых были заблокированы черви и вирусы, сократилась до 1,31% (на 0,06 п. п.) и 1,53% (на 0,08 п. п.) соответственно.
Вредоносные программы для AutoCAD
Эти программы представляют собой незначительную угрозу, которая в рейтинге категорий вредоносного ПО занимает последние места.
В первом квартале 2025 года доля компьютеров АСУ, на которых были заблокированы вредоносные программы для AutoCAD, снова сократилась — до 0,34% (на 0,04 п. п.).
Больше информации об индустриальных угрозах в первом квартале можно найти в полной версии отчета.
Securelist