Ландшафт угроз для систем промышленной автоматизации. Второй квартал 2025 года

Статистика по всем угрозам

Во втором квартале 2025 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, по сравнению с предыдущим кварталом уменьшилась на 1,4 п. п. и составила 20,5%.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, II квартал 2022 года — II квартал 2025 года

По сравнению со вторым кварталом 2024 года доля атакованных компьютеров АСУ уменьшилась на 3,0 п. п.

В регионах доля компьютеров АСУ, на которых во втором квартале 2025 года были заблокированы вредоносные объекты, варьируется от 11,2% в Северной Европе до 27,8% в Африке.

Рейтинг регионов по доле атакованных компьютеров АСУ

В большинстве регионов, рассматриваемых в этом отчете, показатель уменьшился по сравнению с предыдущим кварталом. Увеличился он только в Австралии и Новой Зеландии, а также в Северной Европе.

Изменение доли компьютеров АСУ, на которых были заблокированы вредоносные объекты, II квартал 2025 года

Исследуемые отрасли

Во втором квартале 2025 года рейтинг исследуемых отраслей и типов ОT-инфраструктур по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты, традиционно возглавили биометрические системы.

Рейтинг исследуемых отраслей по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты

Во всех исследуемых отраслях доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, во втором квартале 2025 года уменьшилась.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, в исследуемых отраслях

Разнообразие обнаруженных вредоносных объектов

Во втором квартале 2025 года защитными решениями «Лаборатории Касперского» в системах промышленной автоматизации было заблокировано вредоносное ПО из 10 408 семейств, относящихся к различным категориям.

Доля компьютеров АСУ, на которых была предотвращена активность вредоносных объектов различных категорий

Наиболее заметно выросла доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных (в 1,2 раза по отношению к показателю предыдущего квартала) и вредоносные документы (в 1,1 раза).

Основные источники угроз

Источник угрозы не всегда удается точно определить, исходя из конкретного сценария ее обнаружения и блокировки. Косвенным признаком того или иного источника может быть вид (категория) заблокированной угрозы.

Основными источниками угроз для компьютеров в технологической инфраструктуре организаций остаются интернет (обращения к вредоносным или скомпрометированным интернет-ресурсам; вредоносный контент, распространяемый через мессенджеры; облачные сервисы хранения и обработки данных и СDN), почтовые клиенты (фишинговые рассылки) и съемные носители.

Во втором квартале 2025 года продолжила расти доля компьютеров АСУ, на которых были заблокированы угрозы, распространяемые через почту. Основные категории угроз из электронной почты, заблокированные на компьютерах АСУ, — это шпионское ПО, вредоносные скрипты и фишинговые страницы, а также вредоносные документы. Показатель вырос во всех регионах, кроме России. Показатели остальных источников угроз в среднем по миру уменьшились, более того — достигли минимальных значений со второго квартала 2022 года.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты из различных источников

Напомним, что один и тот же компьютер в течение квартала может быть атакован несколькими категориями вредоносного ПО, которое распространяется из одного источника. Такой компьютер будет учтен при подсчете доли атакованных компьютеров для каждой категории угроз, но для источника угроз будет учитываться лишь один раз (мы считаем уникальные атакованные компьютеры). К тому же однозначно определить первоначальную попытку заражения не всегда представляется возможным. Поэтому суммарная доля компьютеров АСУ, на которых были заблокированы различные категории угроз из определенного источника, превышает показатель для всех угроз из этого источника.

В регионах показатели по источникам угроз варьируются.

• Доля компьютеров АСУ, на которых были заблокированы угрозы из интернета, — от 6,35% в Восточной Азии до 11,88% в Африке.
• Доля компьютеров АСУ, на которых были заблокированы угрозы, распространяемые через электронную почту, — от 0,80% в России до 7,23% в Южной Европе.
• Доля компьютеров АСУ, на которых угрозы были заблокированы при подключении съемных носителей, — от 0,04% в Австралии и Новой Зеландии до 1,77% в Африке.
• Доля компьютеров АСУ, на которых угрозы были заблокированы в сетевых папках, — от 0,01% в Северной Европе до 0,25% в Восточной Азии.

Категории вредоносных объектов

Типовые атаки, блокируемые в сети АСУ, представляют собой многоступенчатый процесс, где каждый последующий шаг злоумышленников направлен на повышение привилегий и получение доступа к другим системам путем эксплуатации проблем безопасности промышленных предприятий, в том числе технологических инфраструктур.

Стоит отметить, что в ходе атаки злоумышленники часто повторяют одни и те же шаги (TTP), например, когда используют вредоносные скрипты и установленные каналы связи с инфраструктурой управления и контроля (C2) для горизонтального перемещения внутри сети и продвижения атаки.

Вредоносные объекты, используемые для первичного заражения

Во втором квартале 2025 года доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных, выросла до 5,91%.

Доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных, II квартал 2022 года — II квартал 2025 года

В регионах доля компьютеров АСУ, на которых были заблокированы опасные веб-ресурсы, варьируется от 3,28% в Восточной Азии до 6,98% в Африке. В тройке лидеров по этому показателю также Россия и Восточная Европа. Рост показателя во всех регионах связан с добавлением прямых ссылок на вредоносный код, размещаемый на популярных публичных интернет-площадках и файловых сервисах.

Доля компьютеров АСУ, на которых были обнаружены вредоносные документы, растет второй квартал подряд. Показатель достиг 1,97% (+0,12 п. п.) и таким образом вернулся к значениям третьего квартала 2024 года. Рост был отмечен во всех регионах, кроме Латинской Америки.

А вот доля компьютеров АСУ, на которых были заблокированы вредоносные скрипты и фишинговые страницы, уменьшилась до 6,49% (на 0,67 п. п.).

Вредоносное ПО следующего этапа

Вредоносные объекты, которые используются для первичного заражения компьютеров, доставляют на компьютеры жертв вредоносное ПО следующего этапа. Как правило, это шпионское ПО, программы-вымогатели и майнеры. Обычно чем выше доля компьютеров АСУ, на которых блокируется вредоносное ПО первичного заражения, тем выше этот показатель и для вредоносного ПО следующего этапа.

Во втором квартале 2025 года доля компьютеров АСУ, на которых были заблокированы угрозы всех категорий этой группы, уменьшилась:

• шпионские программы — 3,84% (на 0,36 п. п.);
• программы-вымогатели — 0,14% (на 0,02 п. п.);
• майнеры в формате исполняемых файлов для ОС Windows — 0,63% (на 0,15 п. п.);
• веб-майнеры — 0,30% (на 0,23 п. п.), это минимальное значение со второго квартала 2022 года.

Самораспространяющееся вредоносное ПО

Это черви и вирусы. Изначально черви и зараженные вирусами файлы использовались для первичного заражения компьютеров, но позднее, с развитием функциональности ботнетов, приобрели черты угроз следующего этапа.

Вирусы и черви распространяются в сетях АСУ через съемные носители, сетевые папки, зараженные файлы (в том числе бэкапы) и сетевые атаки на устаревшее ПО (например, Radmin 2).

Во втором квартале 2025 года доля компьютеров АСУ, на которых были заблокированы черви и вирусы, сократилась до 1,22% (на 0,09 п. п.) и 1,29% (на 0,24 п. п.) соответственно. В обоих случаях это минимальное значение со второго квартала 2022 года.

Вредоносные программы для AutoCAD

Эти программы представляют собой незначительную угрозу, которая в рейтинге категорий вредоносного ПО занимает последние места.
Во втором квартале 2025 года доля компьютеров АСУ, на которых были заблокированы вредоносные программы для AutoCAD, снова сократилась и достигла 0,29% (на 0,05 п. п.).

Больше информации об индустриальных угрозах во втором квартале — в полной версии отчета.