Ландшафт угроз для систем промышленной автоматизации. Третий квартал 2025 года

Статистика по всем угрозам

В третьем квартале 2025 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, по сравнению с предыдущим кварталом уменьшилась на 0,4 п. п. и составила 20,1%. Это минимальный показатель за исследуемый период.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, III квартал 2022 года — III квартал 2025 года

В регионах доля компьютеров АСУ, на которых в третьем квартале 2025 года были заблокированы вредоносные объекты, варьируется от 9,2% в Северной Европе до 27,4% в Африке.

Рейтинг регионов по доле атакованных компьютеров АСУ

Показатель за квартал увеличился в пяти регионах, больше всего — в Восточной Азии, где был отмечен резкий рост доли компьютеров АСУ, связанный с локальным распространением вредоносных скриптов в OT-инфраструктуре организаций в сфере инжиниринга и интеграции АСУ.

Изменение доли компьютеров АСУ, на которых были заблокированы вредоносные объекты, III квартал 2025 года

Исследуемые отрасли

В третьем квартале 2025 года рейтинг исследуемых отраслей и типов ОT-инфраструктур по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты, традиционно возглавили биометрические системы.

Рейтинг исследуемых отраслей по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты

В четырех из семи исследуемых отраслей доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, в третьем квартале 2025 года увеличилась. Больше всего показатель вырос в следующих отраслях:

• инжиниринг и интеграторы АСУ;
• производство.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, в исследуемых отраслях

Разнообразие обнаруженных вредоносных объектов

В третьем квартале 2025 года защитные решения «Лаборатории Касперского» заблокировали в системах промышленной автоматизации вредоносное ПО из 11 356 семейств, относящихся к различным категориям.

Доля компьютеров АСУ, на которых была предотвращена активность вредоносных объектов различных категорий

Из всех исследуемых категорий в третьем квартале 2025 года уменьшилась доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных, а также майнеры обеих категорий.

Основные источники угроз

Источник угрозы не всегда удается точно определить исходя из конкретного сценария ее обнаружения и блокировки. Косвенным признаком того или иного источника может быть вид (категория) заблокированной угрозы.

Основными источниками угроз для компьютеров в технологической инфраструктуре организаций остаются интернет (обращения к вредоносным или скомпрометированным интернет-ресурсам; вредоносный контент, распространяемый через мессенджеры; облачные сервисы хранения и обработки данных и CDN), почтовые клиенты (фишинговые рассылки) и съемные носители.

В третьем квартале 2025 года показатели всех источников угроз в среднем по миру уменьшились.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты из различных источников

Напомним, что один и тот же компьютер в течение квартала может быть атакован несколькими категориями вредоносного ПО, которое распространяется из одного источника. Такой компьютер будет учтен при подсчете доли атакованных компьютеров для каждой категории угроз, но для источника угрозы будет учитываться лишь один раз (мы считаем уникальные атакованные компьютеры). К тому же, однозначно определить источник первоначальной попытки заражения не всегда представляется возможным. Поэтому суммарная доля компьютеров АСУ, на которых были заблокированы различные категории угроз из определенного источника, может превышать долю угроз из самого источника.

• Основные категории угроз из интернета, которые были заблокированы на компьютерах АСУ в третьем квартале 2025 года: вредоносные скрипты и фишинговые страницы, а также ресурсы в интернете из списка запрещенных. Показатель этого источника угроз варьируется от 4,57% в Северной Европе до 10,31% в Африке.
• Основные категории угроз из электронной почты, заблокированные на компьютерах АСУ в третьем квартале 2025 года: вредоносные скрипты и фишинговые страницы, шпионское ПО и вредоносные документы. Большинство шпионских программ, обнаруженных в фишинговых письмах, доставлялось в форме архива с паролем или многослойного скрипта, встроенного в файлы офисных документов. Доля компьютеров АСУ, на которых были заблокированы угрозы, распространяемые через электронную почту, варьируется от 0,78% в России до 6,85% в Южной Европе.
• Основными категориями угроз, которые в третьем квартале 2025 года были заблокированы при подключении съемных устройств к компьютерам АСУ, являются черви, вирусы и шпионское ПО. Показатель этого источника угроз варьируется от 0,05% в Австралии и Новой Зеландии до 1,43% в Африке.
• Основными категориями угроз, которые распространялись через сетевые папки в третьем квартале 2025 года, были вирусы, вредоносное ПО для AutoCAD, черви и шпионское ПО. Доля компьютеров АСУ, на которых угрозы были заблокированы в сетевых папках, варьируется от 0,006% в Северной Европе до 0,20% в Восточной Азии.

Категории вредоносных объектов

Типовые атаки, блокируемые в сети АСУ, представляют собой многошаговые последовательности вредоносных действий, где каждый последующий шаг злоумышленников направлен на сбор дополнительной информации, повышение привилегий и/или получение доступа к другим системам путем эксплуатации проблем безопасности промышленных предприятий, в том числе технологических инфраструктур.

Вредоносные объекты, используемые для первичного заражения

В третьем квартале 2025 года доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных, уменьшилась до 4,01%. Это наименьший квартальный показатель с начала 2022 года.

Доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных, III квартал 2022 года — III квартал 2025 года

В регионах доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных, варьируется от 2,35% в Австралии и Новой Зеландии до 4,96% в Африке. Кроме Африки в тройке лидеров по этому показателю находятся Юго-Восточная и Южная Азия.

Доля компьютеров АСУ, на которых были обнаружены вредоносные документы, после снижения в конце 2024 года растет третий квартал подряд. В третьем квартале 2025 года показатель составил 1,98%.

Доля компьютеров АСУ, на которых были заблокированы вредоносные документы, III квартал 2022 года — III квартал 2025 года

Показатель вырос в четырех регионах — в Южной Америке, Восточной Азии, Юго-Восточной Азии и в Австралии и Новой Зеландии. Наибольший рост отмечен в Южной Америке — в связи с масштабной фишинговой кампанией, в ходе которой злоумышленники использовали новые эксплойты для старой уязвимости CVE-2017-11882 в Microsoft Office Equation Editor для доставки на компьютеры жертв различного шпионского ПО.

Примечательно, что в этой волне фишинга злоумышленники использовали локализованные письма на испанском языке, содержание которых похоже на деловую переписку.

Выросла и доля компьютеров АСУ, на которых были заблокированы вредоносные скрипты и фишинговые страницы, — в третьем квартале 2025 года показатель составил 6,79%. Эта категория заняла первое место в рейтинге категорий угроз по доле компьютеров АСУ, на которых они были заблокированы.

Доля компьютеров АСУ, на которых были заблокированы вредоносные скрипты и фишинговые страницы, III квартал 2022 года — III квартал 2025 года

В регионах показатель варьируется от 2,57% в Северной Европе до 9,41% в Африке. В TOP 3 регионов вошли Африка, Восточная Азия и Южная Америка.

Больше всего показатель увеличился в Восточной Азии (на драматичные 5,23 п. п.). Это связано с локальным распространением вредоносных скриптов-шпионов, загружаемых в память популярных торрент-клиентов, в частности MediaGet.

Вредоносное ПО следующего этапа

Вредоносные объекты, которые используются для первичного заражения компьютеров, доставляют на компьютеры жертв вредоносное ПО следующего этапа. Как правило, это шпионское ПО, программы-вымогатели и майнеры. Обычно, чем выше доля компьютеров АСУ, на которых блокируется вредоносное ПО первичного заражения, тем выше этот показатель и для вредоносного ПО следующего этапа.

В третьем квартале 2025 года доля компьютеров АСУ, на которых были заблокированы шпионские программы и программы-вымогатели, выросла и составила:

• шпионские программы — 4,04% (рост 0,20 п. п.);
• программы-вымогатели — 0,17% (рост 0,03 п. п.).

А вот показатель майнеров уменьшился:

• майнеры в формате исполняемых файлов для ОС Windows — 0,57% (падение 0,06 п. п.), это наименьший квартальный показатель за последние три года;
• веб-майнеры — 0,25% (падение 0,05 п. п.), это минимальное значение с третьего квартала 2022 года.

Самораспространяющееся вредоносное ПО

Это черви и вирусы. Изначально черви и зараженные вирусами файлы использовались для первичного заражения компьютеров, но позднее, с развитием функциональности ботнетов, приобрели черты угроз следующего этапа.

Вирусы и черви в основном распространяются в сетях АСУ через съемные носители и сетевые папки в виде зараженных файлов: архивов с бэкапами, офисными документами, пиратскими играми и взломанными приложениями. В более редких и опасных случаях зараженными оказываются веб-страницы с настройками сетевого оборудования, а также файлы, хранящиеся во внутренних системах документооборота, управления жизненным циклом продукта (PLM), управления ресурсами (ERP) и других интранет-сервисах.

В третьем квартале доля компьютеров АСУ, на которых были заблокированы черви и вирусы, увеличилась до 1,26% (на 0,04 п. п.) и 1,40% (на 0,11 п. п.) соответственно.

Вредоносные программы для AutoCAD

Эта категория вредоносного ПО может распространяться по-разному, поэтому не относится к конкретной группе.

В третьем квартале 2025 года доля компьютеров АСУ, на которых было заблокировано вредоносное ПО для AutoCAD, незначительно увеличилась — до 0,30% (на 0,01 п. п.).

Больше информации об индустриальных угрозах во втором квартале — в полной версии отчета.