Praha 23. května 2025 (PROTEXT) – Podle zprávy týmu Kaspersky ICS CERT byly v prvním čtvrtletí roku 2025 zablokovány škodlivé objekty na 21,9 % průmyslových řídicích systémů (ICS[1]) po celém světě. Největší podíl zaznamenala Afrika (29,6 %), nejnižší severní Evropa (10,7 %). Z evropských regionů byla situace nejhorší ve východní Evropě (21,8 %), následovaná jižní Evropou (20,8 %) a západní Evropou (11,8 %). Mezi 4. čtvrtletím 2024 a 1. čtvrtletím 2025 došlo k mírnému nárůstu detekcí také v západní, severní i jižní Evropě (o 0,1–0,2 p.b.) a Rusku (0,9 p.b.).
Hrozby podle odvětví
Biometrický sektor byl terčem útoků více než kterákoli jiná vertikální odvětví (škodlivé objekty byly zablokovány na 28,1 % počítačů ICS), následovala automatizace budov (25 %), energetická zařízení (22,8 %), stavební zařízení (22,4 %), inženýrská zařízení (21,7 %), ropná a plynárenská zařízení (17,8 %) a výroba (17,6 %).
Hlavní zdroje hrozeb
Kybernetické hrozby v oblasti operačních technologií (OT) zůstávaly na začátku roku 2025 různorodé, přičemž hlavním zdrojem kybernetických rizik pro počítače OT byly stále hrozby šířící se přes internet (tyto hrozby byly blokovány na 10,11 % počítačů ICS), následované e-mailovými klienty (2,81 %) a vyměnitelnými médii (0,52 %).
Kategorie škodlivých objektů
Nejrozšířenějšími kategoriemi blokovaných škodlivých objektů byly škodlivé skripty, phishingové stránky a také zdroje ze seznamu zakázaných nebezpečných webových stránek.
- Afrika (6,21 %), Rusko (5,6 %) a střední Asie (5,5 %) byly tři hlavní regiony podle procenta počítačů ICS, na kterých byly zablokovány zdroje ze seznamu známých škodlivých webových stránek a služeb, ke kterým je přístup blokován bezpečnostními řešeními společnosti Kaspersky. Tyto zdroje využívají útočníci k šíření malwaru, k phishingovým útokům a k hostování velitelské a řídicí infrastruktury.
- Mezi tři největší regiony podle procenta počítačů ICS, na kterých byly zablokovány škodlivé dokumenty, patří jižní Evropa (4,02 %), Latinská Amerika (3,3 %) a Blízký východ (2,7 %). Útočníci rozesílají škodlivé dokumenty především jako přílohu k phishingovým zprávám a používají je k útokům zaměřeným na prvotní infikování počítačů. Škodlivé dokumenty obvykle obsahují exploity, škodlivá makra a odkazy na malware.
- Mezi tři největší regiony podle procenta počítačů ICS, na kterých byly zablokovány škodlivé skripty a phishingové stránky, patří jižní Evropa (10,31 %), Afrika (10,14 %) a Blízký východ (9,58 %). Útočníci používají skripty k široké škále cílů: shromažďování informací, sledování, přesměrování prohlížeče na škodlivý web a nahrávání různých typů malwaru (spyware, nástroje pro tichou těžbu kryptoměn, ransomware) do systému nebo prohlížeče uživatele.
- Tři regiony s nejvyšším procentem počítačů ICS, na kterých došlo k zablokování spywaru, byly Afrika (7,05 %), jižní Evropa (6,52 %) a na Blízký východ (6,25 %). Hlavním úkolem většiny útoků spywaru je krádež peněz, ale spyware se používá i při cílených útocích pro kyberšpionáž, ke krádeži informací potřebných k doručování dalších typů malwaru (ransomware, tiché minery apod.) a také k přípravě na jiné cílené útoky.
- Tři regiony s nejvyšším procentem počítačů ICS, na kterých došlo k zablokování ransomwaru, byly východní Asie (0,32 %), Střední východ (0,3 %) a Afrika (0,25 %).
- Střední Asie (1,72 %), Rusko (1,04 %) a východní Evropa (0,85 %) byly třemi nejzasaženějšími regiony podle procentuálního zastoupení počítačů ICS, na kterých došlo k zablokování minerů ve formě spustitelných souborů pro Windows. Podíl se zvýšil ve všech regionech kromě severní Evropy. Tři regiony s nejvyšším nárůstem tohoto ukazatele byly jihovýchodní Asie, Afrika a střední Asie.
- Tři regiony s nejvyšším procentem počítačů ICS, na kterých došlo k zablokování červů, byly Afrika (3,65 %), střední Asie (2,79 %) a Blízký východ (1,99 %).
- Tři regiony s nejvyšším procentem počítačů ICS, na kterých došlo k zablokování virů, byly země jihovýchodní Asie (8,68 %), Afrika (3,87 %) a východní Asie (2,85 %).
„V prvním čtvrtletí roku 2025 se podíl počítačů ICS napadených malwarem šířeným přes internet poprvé od začátku roku 2023 zvýšil. Internet tak zůstává primárním zdrojem hrozeb pro počítače ICS. Hlavní kategorie hrozeb z internetu jsou známé nebezpečné internetové zdroje, škodlivé skripty a phishingové stránky. Škodlivé skripty a phishingové stránky jsou hlavní kategorií malwaru používaného k počáteční infekci počítačů ICS – fungují jako přenašeči další fáze malwaru, jako je spyware, kryptominery a ransomware. Nárůst internetových útoků na ICS zdůrazňuje kritickou potřebu pokročilé detekce hrozeb pro boj se sofistikovanými malwarovými kampaněmi,“ komentoval Jevgenij Gončarov, vedoucí oddělení Kaspersky ICS CERT.
Aby byly počítače OT chráněny před různými hrozbami, odborníci společnosti Kaspersky doporučují:
- Provádění pravidelných bezpečnostních auditů systémů OT pro zjištění a odstranění potenciálních problémů s kybernetickou bezpečností.
- Zavedení průběžného posuzování zranitelností a stanovení priorit pro jejich odstraňování jako základu pro efektivní proces správy zranitelností. Účinným pomocníkem a zdrojem unikátních užitečných informací, které nejsou veřejně plně dostupné, se mohou stát specializovaná řešení, jako je Kaspersky Industrial CyberSecurity.
- Provádění včasných aktualizací klíčových komponent firemní sítě OT; aplikace bezpečnostních oprav a záplat nebo implementace nápravných opatření co nejdříve je to technicky možné je zásadní pro prevenci závažného incidentu, který by mohl způsobit milionové škody v důsledku přerušení výrobního procesu.
- Používání EDR řešení, například Kaspersky Next EDR Expert, pro včasnou detekci sofistikovaných hrozeb, vyšetřování a efektivní nápravu incidentů.
- Zlepšení reakce na nové a pokročilé škodlivé techniky budováním a posilováním odborných znalostí a dovedností týmů v oblasti prevence, detekce a reakce na incidenty. Jedním z klíčových opatření, která pomáhají k dosažení tohoto cíle, jsou specializovaná školení v oblasti bezpečnosti OT pro pracovníky zabezpečování IT a provozní personál.
[1] Servery pro dohledové řízení a sběr dat (SCADA), (historizační) servery pro ukládání dat, datové brány (OPC), stacionární pracovní stanice inženýrů a operátorů, mobilní pracovní stanice inženýrů a operátorů, rozhraní člověk-stroj (HMI), počítače pro správu sítí operačních technologií (OT), počítače pro vývoj softwaru průmyslových řídicích systémů (ICS).
Kompletní zpráva o hrozbách pro ICS za 1. čtvrtletí 2025 je k dispozici zde.
Zdroj: Kaspersky
