Ландшафт угроз для систем промышленной автоматизации. Второй квартал 2024 года

Все угрозы

Во втором квартале 2024 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, уменьшилась по сравнению с предыдущим кварталом на 0,9 п. п. и составила 23,5%.

По сравнению со вторым кварталом 2023 года, когда показатель достигал наибольшего значения с 2022 года, он сократился на 3,3 п. п.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, Q1 2022 — Q2 2024

Рейтинг регионов

В большинстве регионов доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, сократилась по сравнению с первым кварталом 2024 года. Показатель вырос только в Восточной Азии (на 1,0 п. п.), Западной Европе (на 0,8 п. п.), Австралии и Новой Зеландии (на 0,7 п. п.), а также США и Канаде (на 0,2 п. п.).

Рейтинг регионов по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты

Рейтинг отраслей

В рейтинге отраслей с наиболее высокой долей компьютеров АСУ, на которых были заблокированы вредоносные объекты, традиционно лидирует автоматизация зданий. В целом, показатель во всех исследуемых отраслях снижается уже второй квартал подряд.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, в отдельных отраслях

Разнообразие обнаруженного вредоносного ПО

Во втором квартале 2024 года установленные на системах промышленной автоматизации защитные решения «Лаборатории Касперского» заблокировали вредоносное ПО из 11 349 семейств, относящихся к различным категориям.

Доля компьютеров АСУ, на которых была предотвращена активность вредоносных объектов

По сравнению с предыдущим кварталом наиболее заметно (в 1,2 раза) выросла доля компьютеров АСУ, на которых были заблокированы вредоносные программы-вымогатели.

Категории вредоносных объектов. Цифры

Вредоносные объекты, используемые для первичного заражения

Данная категория включает в себя опасные веб-ресурсы, вредоносные скрипты и вредоносные документы.

• Ресурсы в интернете из списка запрещенных – 6,63% (–0,21 п. п. по сравнению с первым кварталом 2024 года);
• Вредоносные скрипты и фишинговые страницы (JS и HTML) – 5,69% (–0,15 п. п.);
• Вредоносные документы (MSOffice+PDF) – 1,96% (+0,24 п. п.).

Вредоносное ПО следующего этапа

Вредоносные объекты, которые используются для первичного заражения компьютеров, доставляют на компьютеры жертв вредоносное ПО следующего этапа — шпионское ПО, программы-вымогатели и майнеры. Как правило, чем выше доля компьютеров АСУ, на которых блокируется вредоносное ПО первичного заражения, тем выше этот показатель для вредоносного ПО следующего этапа.

• Шпионские программы (троянцы-шпионы, бэкдоры и кейлоггеры) – 4,08% (+0,18 п. п.)
• Программы-вымогатели – 0,18% (+0,03 п. п.);
• Майнеры (исполняемые файлы для ОС Windows) – 0,89% (–0,03 п. п.).

Самораспространяющееся вредоносное ПО

Это черви и вирусы. Изначально черви и зараженные вирусами файлы использовались для первичного заражения компьютеров, но позднее, с развитием функциональности ботнет-сетей, приобрели черты угроз следующего этапа. Вирусы и черви распространяются в сетях АСУ через съемные носители, сетевые папки, зараженные файлы (в том числе бэкапы) и сетевые атаки на устаревшее ПО.

• Черви – 1,48% (–0,03 п. п.);
• Вирусы – 1,54% (–0,02 п. п.).

Вредоносные программы для AutoCAD

Данные программы, как правило, представляют собой незначительную угрозу, которая в нашем рейтинге категорий вредоносных объектов занимает последние места.

• Вредоносное ПО для AutoCAD – 0,42% (+0,01 п. п.).

Основные источники угроз

Основными источниками угроз для компьютеров в технологической инфраструктуре организаций остаются интернет, почтовые клиенты и съемные носители. (Отметим, что надежно установить источники заблокированных угроз удается не во всех случаях.)

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты из различных источников

Больше статистики по угрозам для систем промышленной автоматизации в мире — в отчете на сайте Kaspersky ICS CERT.