Dragos: число групп хакеров-вымогателей, атакующих промышленность, выросло на 49% за год

Компания Dragos опубликовала ежегодный отчёт по кибербезопасности в сфере операционных технологий за 2026 год, в котором зафиксирован резкий рост атак программ-вымогателей против промышленных предприятий. Документ указывает на активное использование злоумышленниками уязвимостей в системах OT и ICS.

По данным исследования, в 2025 году отслеживались 119 групп, применявших вымогательское ПО против промышленных организаций. Для сравнения, в 2024 году таких групп было 80. Рост составил 49%, что отражает усиливающийся интерес преступных структур к производственным и инфраструктурным объектам.

Количество пострадавших предприятий также увеличилось. В 2025 году атаки затронули 3300 промышленных организаций по всему миру, тогда как годом ранее фиксировались 1693 случая. Наиболее серьёзные последствия пришлись на обрабатывающую промышленность, второе место занял транспортный сектор.

В числе уязвимых отраслей также оказались нефтегазовый комплекс, электроэнергетика и телекоммуникации. Эти направления относятся к критически важной инфраструктуре, где даже кратковременные перебои могут привести к масштабным экономическим последствиям.

В отчёте отмечается, что наиболее частым вектором компрометации стали порталы удалённого доступа и сервисы виртуализации. Злоумышленники использовали VPN порталы, интерфейсы межсетевых экранов и туннели сторонних поставщиков. В ряде случаев применялись легитимные учётные данные сотрудников, что позволяло обходить системы обнаружения.

По данным Dragos, кража учётных данных происходила через фишинговые кампании, запуск вредоносных программ для сбора информации либо покупку доступа у брокеров на теневых площадках. После получения первоначального входа атакующие преодолевали границы между ИТ и ОТ сегментами, получая доступ к промышленным средам.

В одном из описанных эпизодов участник вымогательской сети использовал скомпрометированный VPN для подключения к гипервизору ESXi, размещённому в среде OT. После этого злоумышленник развернул вымогательское ПО на виртуальных машинах, обслуживающих SCADA системы. Несмотря на то что физические устройства управления оборудованием не были напрямую повреждены, нарушение слоя виртуализации привело к утрате контроля и необходимости длительного восстановления.