Positive Technologies: 83% кибератак на российскую промышленность осуществляются с использованием вредоносного ПО

Positive Technologies провела исследование киберугроз в промышленности, выявив, что в России за последние два года на эту отрасль пришлось 16% инцидентов в 2024 году и 19% в 2025 году. С начала 2024 года интенсивность атак на промышленный сектор значительно возросла по сравнению с другими отраслями российской экономики, и он занял первое место по числу кибератак. Эта тенденция сохраняется и в 2026 году. Доля атак с использованием вредоносного программного обеспечения (ВПО) увеличилась с 56% до 83%. В более чем половине случаев (55%) применялось ВПО для удаленного управления, что может свидетельствовать об интересе злоумышленников к длительному скрытому присутствию в системах.

Наиболее опасной частью атак на промышленность являются действия в технологическом сегменте. Инциденты на промышленных объектах могут нарушать производственные процессы, лишая людей жизненно необходимых ресурсов, таких как энергоснабжение и продовольствие. Промышленность также поддерживает работу других важных отраслей экономики, включая транспорт, логистику, строительство и торговлю. Это объясняет устойчивый интерес к отрасли со стороны злоумышленников с различными мотивами. За рассматриваемый период российский производственный сектор подвергся атакам 55 группировок. Наиболее активными были кибершпионские группы (47% атак), за ними следовали хактивисты (28%) и финансово мотивированные злоумышленники (25%). Чаще всего атакам подвергались предприятия энергетики и топливно-энергетического комплекса (22%).

Основными методами атак на российскую промышленность оставались использование вредоносного ПО (83%) и социальной инженерии (71%). В большинстве случаев злоумышленники применяли ВПО для удаленного управления (55%) и шпионское ПО (33%), в то время как в других странах основную угрозу представляли программы-вымогатели (54%). Вероятно, приоритетами для киберпреступников являлись долгосрочная компрометация и сбор данных, а не немедленное вымогательство. Рост числа атак с использованием ВПО объясняется развитием теневого рынка: медианная цена инфостилера составляет $400, ВПО для удаленного управления — $1,5 тыс., шифровальщика — $7,5 тыс. В дарквебе публикуются руководства по проведению кибератак, и более половины (52%) объявлений об утечках из российских промышленных организаций связаны с бесплатной раздачей скомпрометированных данных, что свидетельствует о высоком интересе со стороны хактивистов и финансово мотивированных групп. Самая высокая заявленная стоимость украденной информации составила около $300 тыс.

Нарушение основной деятельности предприятий фиксировалось в 33% инцидентов, что может привести не только к остановке производства и перерывам в поставках, но и к угрозе жизни и здоровью людей. Действия злоумышленников в операционно-технологическом сегменте, доступ к которому в 75% случаев удается получить через компрометацию ИТ-инфраструктуры, являются наиболее опасной частью атак. В условиях активной цифровизации промышленности киберриски возрастают: тесная связь ИТ- и OT-контуров расширяет поверхность атаки, а устаревшие системы остаются уязвимыми для известных угроз. Эффективная защита требует специализированных решений и комплексного подхода. Для достижения киберустойчивости предприятия должны тщательно защищать ОТ-системы, управлять активами и уязвимостями, контролировать целостность технологической сети, отслеживать взаимодействия между сегментами, защищать конечные узлы, SCADA-системы и промышленные контроллеры. Например, можно использовать PT ISIM для обеспечения сквозной видимости инфраструктуры и единого контекста событий безопасности, в том числе в изолированных средах.

Источник