Киберугрозы в промышленности: старые трояны, USB-носители и атаки на инфраструктуру снова в центре внимания

В этом материале SecPost проанализировал отчёт промышленной корпорации Honeywell «2025 Cyber Threat Report» и выделил ключевые тенденции, характерные для киберугроз в операционных средах (OT). Исследование основано на данных, собранных в период с октября 2024 по март 2025 года, и включает телеметрию с промышленных площадок, где за полгода были обработаны сотни миллиардов логов и миллионы файлов. Документ показывает: операционные сети остаются уязвимыми к шифровальщикам, троянам и вредоносным USB-носителям, а нарушения в производстве, водоснабжении и транспорте становятся всё более заметными. Полный текст отчета доступен по ссылке.

Динамика угроз: что изменилось за полгода

Рост числа инцидентов в операционных средах совпал с усложнением ландшафта угроз. По данным отчёта, компании сталкиваются как с новыми типами атак на критическую инфраструктуру, так и с использованием давно известных техник. Для организаций с устаревшим оборудованием риски особенно заметны: уязвимости распространяются быстрее, чем компании успевают их закрывать.

Серьёзным фактором стала активизация вымогателей. За отчётный период количество зарегистрированных инцидентов, связанных с вымогательскими атаками, выросло на 46%. В первом квартале 2025 года было зафиксировано ещё 2 472 новых пострадавших на фоне уже 6 130 атак в 2024 году. При этом злоумышленники не создают специализированные варианты под промышленные системы — достаточно существующих инструментов, чтобы останавливать производство, переводить операции на ручной режим и нарушать цепочки поставок.

Дополнительную нагрузку на компании создаёт ужесточение требований со стороны регуляторов, которые усиливают контроль готовности к инцидентам и взаимодействия с подрядчиками. Это связано с тем, что реальные атаки на критически важные сервисы, включая водоснабжение и транспорт, показывают уязвимость инфраструктуры и необходимость пересмотра процессов. В итоге компании сталкиваются сразу с двумя факторами: растущей активностью злоумышленников и более строгими правилами управления рисками.

На фоне этих тенденций отчёт фиксирует одновременное давление экономических ограничений и необходимость модернизации. Организации вынуждены балансировать между бюджетной дисциплиной и потребностью укреплять защиту операционных технологий, чтобы избежать длительных простоев и репутационных последствий.

Одновременно усиливаются требования к отчётности и устойчивости. На регулируемых рынках операторы обязаны оперативно раскрывать информацию об инцидентах, а стандартные меры контроля всё чаще рассматриваются не как формальность, а как инструмент обеспечения доверия и непрерывности операций.

Основные тенденции и доминирующие угрозы

Во-первых, растёт число вымогательских атак, при которых злоумышленники шифруют данные или угрожают их публикацией, требуя выкуп. В промышленной среде такие инциденты приводят к остановкам отдельных процессов, переходу на ручное управление и задержкам в цепочках поставок. Для злоумышленников не обязательно воздействовать на само оборудование — достаточно нарушить вспомогательные сервисы.

Проникновение традиционных ИТ-угроз, таких как банковские трояны, в операционные сети показывает постепенное стирание границ между ИТ и OT. В ряде случаев вредоносные программы используются для кражи учётных данных АСУ ТП, что усложняет защиту и требует согласованного реагирования со стороны обеих команд.

Во-вторых, сохраняется активность троянов и червей, распространяемых через периферийные устройства. Они используются для кражи учётных данных и закрепления в сети, подготавливая почву для дальнейшего проникновения. Отдельно фиксируется появление уникальных вредоносных образцов, способных обходить известные механизмы защиты.

В-третьих, всё чаще атакуют компании из пищевой отрасли: сбои в этой сфере быстро влияют на сроки поставок и работу складов. Отдельно отмечается рост интереса злоумышленников к транспортным и коммунальным сервисам — их атаки приводят к задержкам обслуживания и временной недоступности отдельных услуг.

В системах коммунального обеспечения риски затрагивают большое количество пользователей, повышая требования к готовности операторов к инцидентам. В транспорте атаки приводили к задержкам рейсов и недоступности сервисов обработки данных, включая платёжные и билетные системы.

Что происходит внутри промышленных сетей

Отчёт показывает, что многие инциденты происходят из-за нарушений элементарных правил обращения с оборудованием и доступами в операционных сетях. На площадках фиксируются подключения внешних носителей без проверки, создание учётных записей с расширенными правами и изменения настроек, позволяющих запускать неизвестные файлы. Без регулярного контроля такие действия формируют удобные точки входа для злоумышленников и усложняют выявление вредоносной активности.

В промышленных средах, где оборудование тесно привязано к производственным процессам, даже небольшое изменение в конфигурации может привести к заметным последствиям. Регулярный пересмотр доступов и проверка настроек снижают вероятность подобных ситуаций и ускоряют реагирование при инцидентах.

Отчёт Honeywell выделяет два тревожных индикатора компрометации: снижение уровня контроля приложений (CB-AppControl) и добавление пользователей в локальные или доменные группы с расширенными привилегиями. Такие изменения часто выглядят безобидно, но позволяют запускать непроверенные файлы и дают злоумышленнику возможность скрытно закрепиться в сети. В промышленной среде подобные сигналы требуют немедленного внимания.

Почему USB остаётся уязвимым каналом

По данным отчёта, внешние носители продолжают оставаться одним из самых частых источников вредоносных объектов в промышленных средах. Это связано с особенностями эксплуатации: в цехах и на объектах обслуживания USB используют для переноса конфигураций, обновлений и данных между изолированными системами. В таких условиях проверка устройств перед подключением нередко пропускается, а сами носители могут переходить от подрядчиков к внутренним сотрудникам.

Вредоносные программы, распространяющиеся через USB, нацелены прежде всего на кражу учётных данных и закрепление в сети. Они могут незаметно подготовить инфраструктуру к последующим атакам, в том числе вымогательским. Отчёт отмечает появление новых образцов, не встречавшихся в предыдущие периоды, что усложняет обнаружение на ранних этапах.

Ситуацию усугубляет то, что большинство промышленных систем работают долго и редко обновляются, а значит, они более чувствительны к старым техникам заражения, которые всё ещё эффективны на практике.

Honeywell отмечает, что за отчётный период было проанализировано 89,9 млрд логов и 31,4 млн файлов, из которых 25 % наиболее распространённых инцидентов связаны с подключением USB-носителей. На вредоносное семейство Win32.Worm.Ramnit пришлось 37 % заблокированных объектов, а его активность выросла более чем на 3000 % по сравнению с предыдущим интервалом наблюдений. Эти данные подтверждают, что знакомые векторы остаются одними из самых действенных в промышленной среде.

Win32.Worm.Ramnit, который изначально применялся в банковской сфере, всё чаще используется для кражи учётных данных в операционных сетях. Trojan.Lokibot ориентирован на перехват паролей и ключей доступа, а Trojan.Scar/Shyape применяется для подготовки вымогательских атак. В совокупности эти угрозы усложняют обнаружение на раннем этапе.

Активность вымогательских групп

За отчётный период Honeywell выделяет рост числа атак с целью вымогательства, где злоумышленники используют уже известные техники для доступа к вспомогательным сервисам. В промышленной среде такие инциденты нередко начинаются с кражи учётных данных или компрометации периферийных систем, после чего злоумышленник получает возможность влиять на операционные процессы. Это показывает, что вектор атаки часто лежит за пределами самого промышленного оборудования.

Отдельные группы активно используют уязвимости в периферийных сервисах, через которые связаны производственные сети. В некоторых случаях атаки затрагивают биллинг, платёжные системы и доступ к внутренним сервисам, что усиливает давление на компании. По данным отчёта, активность таких групп растёт, а последствия становятся заметнее для смежных процессов.

Многие такие группировки работают по модели RaaS (Ransomware-as-a-Service) — то есть предоставляют инструменты вымогателей по подписке или проценту от выкупа, что существенно снижает порог входа для новых злоумышленников.

Куда смещается интерес злоумышленников

Отчёт отмечает повышенное внимание к отраслям, чья деятельность напрямую влияет на поставки и логистику. В первую очередь это производство и обработка продуктов питания, где сбои могут отражаться на графиках доставки и работе складов. Такие инциденты создают заметный эффект и повышают вероятность давления на компанию.

Также растёт количество атак на транспортные сервисы. В ряде случаев злоумышленники воздействуют не на само оборудование, а на системы, обеспечивающие оплату, бронирование и обработку данных о пассажирах. Даже кратковременный сбой приводит к задержкам и росту нагрузки на персонал.

В энергетике и водоснабжении риски связаны с высокой степенью зависимости от автоматизированных сервисов. Здесь атака на вспомогательную систему мониторинга может повлиять на устойчивость основного процесса. Эти сегменты представляют интерес для злоумышленников из-за потенциального масштаба последствий.

Устойчивость к инцидентам и готовность к восстановлению

Отчёт показывает, что компании уделяют больше внимания планам реагирования и восстановлению операционных процессов после атаки. В промышленной среде длительность простоя напрямую влияет на производственные сроки и затраты, поэтому время восстановления становится критическим показателем. В ряде случаев заранее подготовленные сценарии позволили снизить последствия инцидента и избежать остановки оборудования.

Особое внимание уделяется резервным копиям конфигураций и данных, которые отделены от основной сети. Такой подход позволяет восстановить систему даже при шифровании рабочих станций и серверов. При этом отчёт подчёркивает необходимость регулярных проверок корректности резервирования и тестов восстановления.

Важную роль играет и переоценка критичных участков. Компании отмечают, что заранее определённые приоритеты позволяют быстрее распределять ресурсы и восстанавливать функциональность, на которую завязаны смежные процессы. В условиях дефицита персонала это снижает нагрузку на команды и ускоряет принятие решений.

Практические рекомендации для компаний

Отчёт акцентирует необходимость регулярного пересмотра правил доступа и проверки учётных записей с расширенными правами. Такие действия помогают выявлять незаметные изменения, которые впоследствии используются злоумышленниками. При этом важно вводить контрольные точки и согласование для любых изменений в группах доступа.

В промышленной среде важно проверять внешние носители до подключения к оборудованию. Специализированные станции сканирования и утверждённые поставщики программного обеспечения снижают риск заноса вредоносного кода на площадку. Повышение осведомлённости сотрудников о рисках работы с переносными устройствами остаётся актуальным.

Рекомендуется разделять производственные сети на меньшие сегменты, ограничивая распространение угроз. В сочетании с принципом наименьших привилегий это позволяет локализовать инцидент и сохранить работоспособность отдельных участков. При наличии устаревшего оборудования важно использовать дополнительные меры контроля.

Отдельное внимание стоит уделять обновлению программного обеспечения и устранению известных уязвимостей. В условиях промышленной эксплуатации это возможно не всегда, поэтому отчёт предлагает сочетать обновления с альтернативными мерами контроля.

В промышленной среде ключевым фактором становится не только защита периметра, но и способность выявлять низкоуровневые изменения в управлении доступом и настройках приложений. Эти сигналы зачастую предшествуют более заметным попыткам атаки и позволяют прервать цепочку до воздействия на технологический процесс.