Индустриальные угрозы

Ландшафт угроз для систем промышленной автоматизации. Первый квартал 2024 года

Глобальная статистика

Все угрозы

В первом квартале 2024 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, уменьшилась по сравнению с предыдущим кварталом на 0,3 п. п. и составила 24,4%.

По сравнению с первым кварталом 2023 года доля уменьшилась на 1,3 п. п.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, Q1 2022 — Q1 2024

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, Q1 2022 — Q1 2024

Отдельные отрасли

Автоматизация зданий традиционно лидирует среди исследуемых отраслей по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, в отдельных отраслях

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, в отдельных отраслях

В первом квартале 2024 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, уменьшилась во всех исследуемых отраслях.

Разнообразие обнаруженного вредоносного ПО

В первом квартале 2024 года защитными решениями «Лаборатории Касперского» в системах промышленной автоматизации было заблокировано вредоносное ПО из 10 865 различных семейств, относящихся к различным категориям.

Доля компьютеров АСУ, на которых была предотвращена активность вредоносных объектов различных категорий

Доля компьютеров АСУ, на которых была предотвращена активность вредоносных объектов различных категорий

По сравнению с предыдущим кварталом наиболее заметно в мире вырос процент компьютеров АСУ, на которых были заблокированы вредоносные программы для AutoCAD, — в 1,16 раза.

Основные источники угроз

Основными источниками угроз для компьютеров в технологической инфраструктуре организаций остаются интернет, почтовые клиенты и съемные носители. (Отметим, что источники заблокированных угроз надежно установить удается не во всех случаях.)

Доля компьютеров АСУ, на которых были заблокированы угрозы из основных источников, снизилась в первом квартале 2024 года.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты из различных источников

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты из различных источников

Регионы

Доля компьютеров АСУ, на которых в течение квартала были заблокированы вредоносные объекты, варьируется в регионах — от 32,4% в Африке до 11,5% в Северной Европе.

Рейтинг регионов по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты в первом квартале 2024 года

Рейтинг регионов по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты в первом квартале 2024 года

Рейтинг возглавили два региона, где доля атакованных компьютеров АСУ увеличилась по сравнению с предыдущим кварталом: Африка и Юго-Восточная Азия.

Категории вредоносного ПО. Цифры

Вредоносные объекты, используемые для первичного заражения

К вредоносным объектам, которые используются для первичного заражения компьютеров, относятся опасные ресурсы в интернете из списка запрещенных, вредоносные скрипты и фишинговые страницы, а также вредоносные документы.

Источники большинства вредоносных объектов — интернет и электронная почта. По доле компьютеров АСУ, на которых были заблокированы угрозы из этих источников, лидируют указанные ниже регионы.

Угрозы из интернета:

  • Африка — 14,82%;
  • Юго-Восточная Азия — 14,01%.

Угрозы из почты:

  • Южная Европа — 6,85%;
  • Латинская Америка — 5,09%.
Ресурсы в интернете из списка запрещенных

Среди регионов по доле компьютеров АСУ, на которых были заблокированы интернет-ресурсы из списка запрещенных, лидируют:

  • Африка — 8,78%;
  • Россия — 7,49%;
  • Южная Азия — 7,48%.
Вредоносные скрипты и фишинговые страницы

Среди регионов по доле компьютеров АСУ, на которых были заблокированы вредоносные скрипты и фишинговые страницы, лидируют:

  • Латинская Америка — 7,23%;
  • Южная Европа — 6,96%;
  • Ближний Восток — 6,95%.
Вредоносные документы

Среди регионов по доле компьютеров АСУ, на которых были заблокированы вредоносные документы, лидируют:

  • Южная Европа — 3,24%;
  • Латинская Америка — 2,94%;
  • Восточная Европа — 2,33%.

Вредоносное ПО следующего этапа

Вредоносные объекты, которые используются для первичного заражения компьютеров, доставляют на компьютеры жертв вредоносное ПО следующего этапа — шпионское ПО, программы-вымогатели и майнеры.

Доставка наиболее распространенных майнеров, предназначенных для запуска в ОС Windows, происходит в форме установочных файлов NSIS с легитимным ПО.

Шпионское ПО

Как правило, чем выше доля компьютеров АСУ, на которых блокируется вредоносное ПО первичного заражения, тем выше доля устройств, где можно обнаружить вредоносное ПО следующего этапа.

По доле компьютеров АСУ, на которых были заблокированы программы-шпионы, лидируют следующие регионы:

  • Африка — 6,65%;
  • Ближний Восток — 5,89%;
  • Южная Европа — 5,45%.

Почти во всех регионах в рейтинге категорий угроз, заблокированных на компьютерах АСУ, шпионские программы не поднимаются выше третьего места. Исключение составляют:

  • Восточная Азия. В данном регионе программы-шпионы занимают первое место в рейтинге категорий вредоносного ПО, заблокированного на компьютерах АСУ. Их доля составляет 3,68%.
  • Центральная Азия. В данном регионе программы-шпионы занимают второе место в аналогичном рейтинге с долей 4,40%.
Программы для скрытого майнинга криптовалюты

Майнеры — исполняемые файлы для ОС Windows

Среди регионов по доле компьютеров АСУ, на которых были заблокированы майнеры — исполняемые файлы для ОС Windows, — лидируют:

  • Центральная Азия — 1,78%;
  • Россия — 1,38%;
  • Восточная Европа — 1,06%.

В мировом рейтинге категорий угроз по доле компьютеров АСУ, на которых они были заблокированы, майнеры — исполняемые файлы для ОС Windows находятся на седьмом месте.

  • В рейтинге по России майнеры для Windows занимают четвертое место;
  • В Центральной Азии — пятое.

Отметим, что в первом квартале 2024 года доля компьютеров АСУ, на которых были заблокированы майнеры — исполняемые файлы для ОС Windows, увеличилась во всех регионах, кроме России и Центральной Азии.

Веб-майнеры, выполняемые в браузерах

Среди регионов по доле компьютеров АСУ, на которых были заблокированы веб-майнеры, лидируют:

  • Африка — 0,91%;
  • Ближний Восток — 0,84%;
  • Австралия и Новая Зеландия — 0,78%.

В рейтинге категорий угроз по доле компьютеров АСУ, на которых они были заблокированы, веб-майнеры оказались на пятом месте в следующих регионах:

  • Австралия и Новая Зеландия — 0,78%;
  • США и Канада — 0,45%;
  • Северная Европа — 0,27%.

В мировом рейтинге этот тип вредоносного ПО находится на восьмом месте.

В первом квартале 2024 года доля компьютеров АСУ, на которых были заблокированы веб-майнеры, выполняемые в браузерах, увеличилась во всех регионах, кроме России и Центральной Азии.

Программы-вымогатели

Самая высокая доля компьютеров АСУ, на которых были заблокированы программы-вымогатели, наблюдалась в следующих регионах:

  • Ближний Восток — 0,28%;
  • Африка — 0,27%;
  • Южная Азия — 0,22%.

Самораспространяющееся вредоносное ПО. Черви и вирусы

Изначально черви и зараженные вирусами файлы использовались для первичного заражения компьютеров, но позднее, с развитием функциональности ботнет-сетей, приобрели черты угроз следующего этапа.

Вирусы и черви распространяются в сетях АСУ через съемные носители, сетевые папки, зараженные файлы (в том числе бэкапы) и сетевые атаки на устаревшее ПО.

В трех регионах доля компьютеров АСУ, на которых блокировались угрозы при подключении съемных носителей, оказалась выше, чем доля компьютеров АСУ, на которых блокировались угрозы из почты (в остальных — ниже):

  • Африка — 5,6% (лидирует по данному показателю);
  • Южная Азия — 2,46%;
  • Центральная Азия — 1,51%.
Черви

Среди регионов по доле компьютеров АСУ, на которых были заблокированы черви, лидируют:

  • Африка — 5,29%;
  • Центральная Азия — 2,88%;
  • Ближний Восток — 2,40%.

В мировом рейтинге категорий угроз черви заняли шестое место по доле компьютеров АСУ, на которых они были заблокированы. В четырех регионах черви оказались на четвертом месте в аналогичном рейтинге:

  • Африка — 5,29%;
  • Центральная Азия — 2,88%;
  • Ближний Восток — 2,40%;
  • Южная Азия — 1,95%.

Отметим, что два региона из указанных выше лидируют по доле компьютеров АСУ, на которых были заблокированы угрозы при подключении съемных носителей:

  • Африка — 5,6%;
  • Южная Азия — 2,46%.
Вирусы

Среди регионов по доле компьютеров АСУ, на которых были заблокированы вирусы, лидируют:

  • Юго-Восточная Азия — 7,61%;
  • Африка — 4,09%;
  • Восточная Азия — 2,89%.

В Юго-Восточной Азии вирусы оказались на первом месте в рейтинге категорий угроз по доле компьютеров АСУ, на которых они были заблокированы.

Отметим также, что два из указанных выше регионов также лидируют по доле компьютеров АСУ, на которых были заблокированы угрозы в сетевых папках:

  • Юго-Восточная Азия — 0,43%;
  • Восточная Азия — 0,32%.

Вредоносные программы для AutoCAD

Вредоносное ПО для AutoCAD может распространяться разными способами, поэтому этот тип угроз выделяют в отдельную категорию.

По доле компьютеров АСУ, на которых были заблокированы вредоносные программы для AutoCAD, лидируют те же регионы, что и в рейтинге по вирусам:

  • Юго-Восточная Азия — 2,81%;
  • Восточная Азия — 1,49%;
  • Африка — 0,61%.

Как правило, вредоносные программы для AutoCAD занимают последние места в рейтинге категорий угроз по доле компьютеров АСУ, на которых они были заблокированы. В Юго-Восточной Азии в первом квартале 2024 года эта категория оказалась на пятом месте.

Больше статистики по угрозам для систем промышленной автоматизации в мире и в регионах — в отчетах на сайте Kaspersky ICS CERT.

Ландшафт угроз для систем промышленной автоматизации. Первый квартал 2024 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике