近日,卡巴斯基实验室通过分析卡巴斯基安全网络(KSN)收集的数据,形成了《2023年H1工业自动化系统威胁形势报告》,为2023年上半年的工业自动化系统威胁形势提供了全面的分析和解读,旨在帮助组织更好地应对潜在威胁。
全球统计数据
整体威胁
2023年上半年,34%的ICS计算机阻止了恶意对象(所有类型的威胁),这一数据比2022年下半年(34.3%)减少了0.3个百分点。
【2023年上半年阻止恶意对象的ICS计算机百分比】
受攻击的ICS计算机百分比在2023年第一季度下降,但随后在2023年第二季度再次上升,达到自2022年以来的最高季度数字——26.8%。
【拦截恶意对象的ICS计算机百分比,按季度划分】
在春季(3月至5月),阻止恶意对象的ICS计算机百分比仍然高于其他三个月。
【2023年1月至6月,阻止恶意对象的ICS计算机百分比】
地区表现差异
拦截恶意对象的ICS计算机比例在不同地区表现得有所不同,其中,占比最高的是非洲(40.3%),最低的是北欧(14.7%)。
【阻止恶意对象的ICS计算机的百分比(按地区分布)】
在过去的半年里,俄罗斯和中亚地区阻止恶意对象的ICS计算机百分比显著增加,原因是大量网站受到感染(包括那些由工业公司运营的网站),这些网站通常使用过时版本的流行俄罗斯CMS。在2023年上半年,这两个地区的数据都回到了接近2022年上半年的水平。
如上所述,在阻止恶意对象的ICS计算机百分比中,增幅最大的是西欧(4.6个百分点)、美国和加拿大(1.9个百分点)以及澳大利亚和新西兰(1.3个百分点)。值得注意的是,北欧和中东地区增幅虽小但呈稳定增长趋势(各增长0.3个百分点)。
西欧是所有地区中增幅最大的地区,在2023年上半年,受到攻击的ICS计算机百分比逐月增长(直到5月份),然后在6月份下降至1月份的水平。
【2023年1月至6月,西欧地区拦截恶意对象的ICS计算机百分比】
数据表明,在2023年上半年,一些威胁行为者重新利用老式网络钓鱼技术,瞄准欧洲组织,包括工业组织。该技术涉及用恶意脚本感染网站,该脚本会触发一个类似微软技术支持窗口的弹出窗口。弹出窗口不包含任何链接,而是显示钓鱼信息和可拨打的本地电话号码。当用户拨打该号码时,威胁行为者会接听电话并用当地语言进行通信,操纵毫无戒心的用户下载并安装远程访问工具或多功能间谍软件。该技术利用社会工程策略欺骗用户并获得对其系统的未经授权访问,对组织(包括工业组织)构成了严重威胁。
而在西欧地区,增幅最大的行业是工程和ICS集成(增幅为6.1个百分点)。
【在选定行业中阻止恶意对象的ICS计算机百分比(西欧地区)】
国家表现差异
拦截恶意对象的ICS计算机比例在不同国家也有所不同,其中,占比最高的是埃塞俄比亚(53.3%),最低的是卢森堡(7.4%)。
【2023年上半年,拦截恶意对象的ICS计算机比例最高的15个国家和地区】
2023年上半年,在阻止恶意对象的ICS计算机比例最高的15个国家和地区中,有7个非洲国家、3个中东国家和3个中亚国家。
而在比例最低的10个国家中,有一半位于北欧。
【2023年上半年,拦截恶意对象的ICS计算机百分比最低的10个国家和地区】
行业统计数据
2023年上半年,在工程和ICS集成(增加2个百分点),制造(增加1.9个百分点)和能源(增加1.5个百分点)等行业中阻止恶意对象的ICS计算机百分比呈现增长趋势。
【在选定行业中阻止恶意对象的ICS计算机百分比】
其中,楼宇自动化在这些行业中仍处于领先地位。
自2021年以来,能源、石油和天然气领域拦截恶意对象的ICS计算机比例呈现相反的趋势。
【在选定行业中阻止恶意对象的ICS计算机百分比,红色为能源;蓝色为石油和天然气】
恶意对象类别
2023年上半年,卡巴斯基安全解决方案在工业自动化系统中拦截了11727种不同的恶意软件家族。
【ICS计算机上拦截的恶意软件家族】
ICS计算机上被卡巴斯基产品阻止的恶意对象种类繁多,其中占比最大的恶意对象类别包括:
- 恶意脚本和网络钓鱼页面,占比7%;
- 列入黑名单(Denylisted)的互联网资源,占比3%;
- 间谍软件,占比6%;
- 恶意文件,占比4%;
- 勒索软件,占比32%。这是自2020年初以来的最低比例。
【阻止各类恶意对象活动的ICS计算机百分比】
其中,只有一个类别在2023年上半年有所增长:列入黑名单的互联网资源。阻止此类威胁的ICS计算机百分比实现了连续二年的增长。
2022年之前,列入黑名单的互联网资源一直稳居威胁类别列表的榜首,但在2022年,它开始掉到第二名,仅次于恶意脚本和网络钓鱼页面,后者仍然位居榜首。然而,这两种威胁的价值正在趋同。
【拦截恶意脚本和网络钓鱼页面VS 拦截Denylisted互联网资源的ICS计算机百分比】
恶意脚本和网络钓鱼页面(JS和HTML)
恶意脚本和网络钓鱼页面(JS和HTML)通过互联网和电子邮件传播。恶意脚本服务于广泛的目标:从收集数据,跟踪和重定向用户到恶意网站,到下载各种恶意软件(如间谍软件和/或隐蔽的加密矿工)到系统或浏览器。
在拦截恶意脚本和钓鱼网页的ICS计算机中,占比最高的地区是中东和俄罗斯。半年来,这一数字在五个地区有所增长,主要是在美国和加拿大(增长3.3个百分点)、西欧(增长2.2个百分点)以及澳大利亚和新西兰(增长1.9个百分点)。
拦截恶意脚本和网络钓鱼页面的ICS计算机比例最高的国家是吉尔吉斯斯坦(21%)和阿富汗(20.9%)。
列入黑名单(Denylisted)的互联网资源
在阻止Denylisted互联网资源的ICS计算机中,比例最高的地区是非洲。而就增长趋势而言,其中增幅最大的是美国和加拿大(3.2个百分点)、东欧(2.6个百分点)以及澳大利亚和新西兰(2.5个百分点)。
阻止Denylisted互联网资源的ICS计算机比例最高的国家是阿尔及尔(21.8%)和阿富汗(20.2%)。
间谍软件
阻止间谍软件的ICS计算机百分比继续下降。这种趋势的转折点出现在2022年上半年,在此之前(从2020年到2022年上半年)还始终呈现上升趋势。
【拦截间谍软件的ICS计算机百分比】
2023年上半年,在拦截间谍软件的ICS计算机中,比例最高的地区是非洲。中东和东南亚的比例也同样高。
而就国家而言,名列前茅的是塔吉克斯坦(18.9%)、阿尔及尔(16.7%)和阿富汗(16.6%)。
恶意文件(MSOffice +PDF)
黑客通过网络钓鱼信息传播恶意文件,并利用它们进行攻击,目的是引起初次感染。在2022年上半年,全球阻止此类威胁的ICS计算机比例增加了一倍以上,此后便一直呈现下降趋势。然而,在2023年上半年,这一比例仍高于2020-2021年。
【阻止恶意文档的ICS计算机百分比】
受害者人数最多的地区是拉丁美洲和南欧。这些地区拦截电子邮件威胁的ICS计算机比例也最高。美国和加拿大拦截恶意文件的计算机百分比增幅最大(0.72个百分点)。
阻止恶意文件的ICS计算机比例最高的国家是阿尔及尔(16.7%)和阿富汗(16.6%)。
恶意加密货币矿工
矿工病毒通常通过网站传播,黑客会在各种媒体和盗版网站上部署恶意脚本,并将用户重定向到这些网站。
全球阻止恶意矿工(包括Windows可执行文件和web矿工)的ICS计算机百分比在2023年上半年有所下降。
2023年上半年,在阻止恶意矿工的ICS计算机中,比例最高的地区是中亚。而就国家而言,比例最高的是塔吉克斯坦(7.9%)和土库曼斯坦(7.4%)。
病毒和蠕虫
阻止蠕虫的ICS计算机百分比继续下降,这可能间接表明各组织在OT环境中系统地使用了安全解决方案,从而消除了感染热点并防止了自我传播式恶意软件的传播。
与2022年下半年相比,2023年上半年阻止病毒和蠕虫的ICS计算机百分比几乎没有变化。
【阻止病毒和蠕虫的ICS计算机百分比】
病毒和蠕虫通过可移动介质、共享文件夹、受感染的文件(如备份)以及对过时软件(如Radmin2)的网络攻击在ICS网络中传播。
有许多相对较旧的病毒和蠕虫仍在传播,例如Kido/Conficker。尽管命令和控制服务器已关闭,但这些较旧的蠕虫和病毒构成了两个威胁:第一,破坏了受感染系统的安全性,例如它们打开网络端口并更改设置,第二,可能导致软件崩溃或拒绝服务情况。
然而,在ICS网络中也可以看到新版本的蠕虫,攻击者用来在受感染的网络中传播间谍软件、勒索软件和矿工。通常,这些蠕虫通过利用网络服务中的漏洞进行传播,例如SMB 或RDP,这些漏洞已被供应商修复但仍存在于OT 环境中,或者通过使用早期窃取的身份验证数据,甚至通过暴力破解密码进行传播。
勒索软件
拦截勒索软件的ICS计算机比例在2022年上半年有所增加,但在2023年上半年降至2020年以来的最低水平。
【拦截勒索软件的ICS计算机百分比】
其中,东亚和中东是2023年上半年ICS计算机遭受勒索软件攻击比例最高的地区。
在全球大部分地区,受到勒索软件攻击的ICS计算机比例有所下降。在澳大利亚和新西兰增长了0.19个百分点,在美国和加拿大增长了0.13个百分点,在北欧和东欧略有增长。
主要威胁来源
互联网、电子邮件客户端和可移动设备仍然是企业运营技术基础设施中计算机的主要威胁来源。
- 互联网占3%;
- 电子邮件客户端占6%;
- 可移动设备占4%。
【阻止各种威胁来源的ICS计算机百分比】
好消息是,在2023年上半年,几乎所有主要威胁来源的ICS计算机上拦截恶意对象的百分比都有所下降。
与整体威胁统计数据的情况一样,阻止各种威胁来源的ICS计算机百分比因地区和国家而异。
国家地区差异
互联网威胁来源
2023年上半年,阻止互联网威胁的ICS计算机比例最高的地区是非洲、中东和俄罗斯。
【2023年上半年,阻止互联网威胁的ICS计算机百分比排名(按地区分布)】
2023年上半年,在阻止互联网威胁的ICS计算机中,增幅最大的地区反而是那些被认为是“最安全的”地区:西欧(增长2.6个百分点)、美国和加拿大(增长2个百分点)、澳大利亚和新西兰(增长1.4个百分点)。
电子邮件客户端
自2022年上半年以来,南欧一直是拦截恶意电子邮件附件和网络钓鱼链接的ICS计算机比例最高的地区。
在美国和加拿大(增长了0.3个百分点)、西欧(增长了0.4个百分点)和俄罗斯(增长了0.1个百分点),阻止电子邮件威胁的ICS计算机百分比有所增长。
【2023年上半年,阻止恶意电子邮件附件和网络钓鱼链接的ICS计算机百分比排序】
如图所示,在这15个国家和地区的ICS计算机中,南欧和东欧的恶意电子邮件附件和网络钓鱼链接被拦截的比例最高。因此,格外提醒这些国家的信息安全专业人员要特别注意保护员工免受网络钓鱼电子邮件攻击。
可移动设备
在阻止可移动设备威胁的ICS计算机中,比例最高的地区是非洲和亚洲。2023年上半年,非洲的这一数字略有增长(增长0.63个百分点),澳大利亚和新西兰的这一数字增长了一倍多(增长1.2个百分点)。因此,建议这些国家的信息安全专业人员特别注意保护员工免受网络钓鱼电子邮件攻击。
网络文件夹
网络文件夹是恶意对象的一个次要来源。东亚、东南亚和中亚地区阻止网络文件夹威胁的ICS计算机比例最高。在澳大利亚和新西兰,这一数字在半年时间里翻了一番,使该地区排名第四。
【2023年上半年,阻止网络文件夹中恶意对象的ICS计算机百分比排序】
原文链接:https://securelist.com/threat-landscape-for-industrial-automation-systems-statistics-for-h1-2023/110605/