Ландшафт угроз для систем промышленной автоматизации. Третий квартал 2024

Статистика по всем угрозам

В третьем квартале 2024 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, уменьшилась по сравнению с предыдущим кварталом на 1,5 п. п. и составила 22,0%.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, 2022–2024 годы

По сравнению с третьим кварталом 2023 года это значение уменьшилось на 1,7 п. п.

В течение третьего квартала 2024 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, достигала наибольшего значения в июле и сентябре, а наименьшего — в августе. Более того, августовское значение — минимальное за весь период наблюдений.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, январь 2023 года — сентябрь 2024 года

Рейтинг регионов

В регионах^[1] доля компьютеров АСУ, на которых в течение третьего квартала 2024 года были заблокированы вредоносные объекты, варьировалась от 9,7% в Северной Европе до 31,5% в Африке.

Рейтинг регионов по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты в третьем квартале 2024 года

В шести регионах — Африке, Южной Азии, Юго-Восточной Азии, Латинской Америке, Восточной Азии, а также на Ближнем Востоке — показатели увеличились по сравнению с предыдущим кварталом.

Регионы и мир. Изменение доли атакованных компьютеров за третий квартал 2024 года

Рейтинг отраслей

Рейтинг исследуемых отраслей по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты, возглавляют биометрические системы.

Регионы и мир. Изменение доли атакованных компьютеров за третий квартал 2024 года

В третьем квартале 2024 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, уменьшилась в большинстве отраслей, за исключением биометрических систем и производства.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, в исследуемых отраслях

Разнообразие обнаруженных вредоносных объектов

В третьем квартале 2024 года защитные решения «Лаборатории Касперского» на системах промышленной автоматизации заблокировали вредоносное ПО из 11 882 семейств, относящихся к различным категориям.

По сравнению с предыдущим кварталом наиболее заметно (в 1,1 раза) выросла доля компьютеров АСУ, на которых были заблокированы вредоносные скрипты и фишинговые страницы.

Основные источники угроз

Основными источниками угроз для компьютеров в технологической инфраструктуре организаций остаются интернет, почтовые клиенты и съемные носители. Отметим, что достоверно установить источники заблокированных угроз удается не во всех случаях.

В третьем квартале 2024 года доли компьютеров АСУ, на которых были заблокированы угрозы из источников, рассмотренных в этом отчете, снизились.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты из различных источников

Более того, доля компьютеров АСУ, на которых были заблокированы угрозы из почтовых клиентов, со съемных носителей и из сетевых папок, достигла минимального значения с начала 2022 года.

Категории вредоносных объектов. Цифры

Вредоносные объекты, используемые для первичного заражения

Данная категория включает в себя опасные веб-ресурсы, вредоносные скрипты и фишинговые страницы, а также вредоносные документы.

В третьем квартале доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных, а также вредоносные документы, увеличилась до 6,84% (на 0,21 п. п.) и 1,97% (на 0,01 п. п.) соответственно. Более существенно до 6,24% (на 0,55%) вырос показатель вредоносных скриптов и фишинговых страниц, хотя в предыдущем квартале он достигал минимального значения с начала 2022 года.

Вредоносное ПО следующего этапа

Вредоносные объекты, которые используются для первичного заражения компьютеров, доставляют на компьютеры жертв вредоносное ПО следующего этапа — шпионское ПО, программы-вымогатели и майнеры. Как правило, чем выше доля компьютеров АСУ, на которых блокируется вредоносное ПО первичного заражения, тем выше этот показатель и для вредоносного ПО следующего этапа.

Доля компьютеров АСУ с заблокированными на них шпионскими программами (троянцы-шпионы, бэкдоры и кейлоггеры) в третьем квартале 2024 года сократилась на 0,17 п. п. и составила 3,91%.

Доля компьютеров АСУ, на которых были заблокированы программы-вымогатели, продолжает колебаться от квартала к кварталу в пределах 0,03 п. п. В отчетном периоде этот показатель снизился до 0,16%.

Доля компьютеров АСУ с заблокированными на них майнерами — исполняемыми файлами для ОС Windows, в третьем квартале сократилась до 0,71% (на 0,18 п. п.).

Доля компьютеров АСУ, на которых были заблокированы веб-майнеры, сократилась до 0,41% (на 0,09 п. п.), достигнув минимального значения с начала 2022 года.

Самораспространяющееся вредоносное ПО

Это черви и вирусы. Изначально черви и зараженные вирусами файлы использовались для первичного заражения компьютеров, но позднее, с развитием функциональности ботнетов, приобрели черты угроз следующего этапа. Вирусы и черви распространяются в сетях АСУ через съемные носители, сетевые папки, зараженные файлы (в том числе бэкапы) и сетевые атаки на устаревшее ПО.

В третьем квартале 2024 года доля компьютеров АСУ, на которых были заблокированы черви, снизилась на 0,18% и достигла 1,30%. Это минимальное значение с начала 2022 года. Показатель вирусов сократился незначительно и составил 1,53%.

Вредоносные программы для AutoCAD

Данные программы, как правило, представляют собой незначительную угрозу, которая в рейтинге категорий вредоносных объектов занимает последние места.

В третьем квартале 2024 года доля компьютеров АСУ, на которых было заблокировано вредоносное ПО для AutoCAD, немного уменьшилась и составила 0,40%.

Полную версию отчета можно найти на сайте Kaspersky ICS CERT.

^[1] В отчете учитывается статистика по США, полученная до 29 сентября 2024 года.