2024 年第一季度工业自动化系统的威胁形势

全球统计数据

所有威胁的统计数据

2024 年第一季度，被拦截恶意对象的 ICS 计算机比例较上一季度下降 0.3 个百分点，降至 24.4%。与 2023 年第一季度相比，该比例下降了 1.3 个百分点。

2022 年至 2024 年各季度拦截恶意对象的 ICS 计算机百分比

选定行业

从阻止恶意对象的 ICS 计算机比例来看，楼宇自动化在接受调查的行业中一直处于领先地位。

所选行业中被拦截恶意对象的 ICS 计算机百分比

2024 年第一季度，所有行业中阻止恶意对象的 ICS 计算机的百分比都有所下降。

检测到的恶意软件的多样性

2024 年第一季度，卡巴斯基的防护解决方案阻止了工业自动化系统上属于不同类别的 10,865 个不同家族的恶意软件。

阻止各类恶意对象活动的 ICS 计算机百分比

与上一季度相比，2024年第一季度，在各类恶意对象被阻止的ICS计算机中，检测到AutoCAD恶意软件的百分比增幅最为显著：增加了1.16倍。

主要威胁源

互联网、电子邮件客户端和可移动存储设备仍然是组织运营技术基础设施中计算机的主要威胁来源。请注意，并非所有情况下都能可靠地识别被阻止威胁的来源。2024 年第一季度，被阻止来自各种来源的威胁的 ICS 计算机的百分比对于每个主要来源而言都有所下降。

拦截来自各种来源的恶意对象的 ICS 计算机百分比

区域

从地区来看，本季度阻止恶意对象的 ICS 计算机比例从非洲的 32.4% 到北欧的 11.5% 不等。

2024 年第一季度按 ICS 计算机拦截恶意对象的百分比排名的区域

遭受攻击的 ICS 计算机比例最高的两个地区是非洲和东南亚，其比例较上一季度有所增加。

恶意活动数量

用于初始感染的恶意对象

用于初始感染计算机的恶意对象包括添加到拒绝列表的危险互联网资源、恶意脚本和网络钓鱼页面以及恶意文档。

按照网络犯罪分子的逻辑，这些恶意对象很容易传播。因此，它们被安全解决方案阻止的次数比其他任何东西都要多。

在全球范围内和几乎所有地区，列入黑名单的互联网资源以及恶意脚本和钓鱼页面在恶意软件类别排名中按被阻止该恶意软件的 ICS 计算机的百分比位居首位。

互联网和电子邮件是用于初始感染的大多数恶意对象的来源，以下地区是 ICS 计算机中被拦截威胁最多的地区（按百分比计算）：

·互联网威胁

非洲-14.82%；东南亚-14.01%。

·电子邮件威胁

南欧-6.85%；拉丁美洲-5.09%。

·列入黑名单的互联网资源

被列入黑名单的互联网资源被阻断的 ICS 计算机占比排名靠前的地区为：

非洲-8.78%；俄罗斯-7.49%；南亚-7.48%。

·恶意脚本和钓鱼页面

按照阻止恶意脚本和钓鱼页面的 ICS 计算机比例排名，主要地区为：

拉丁美洲-7.23%；南欧-6.96%；中东-6.95%。

·恶意文件

按照 ICS 计算机占比排名前列的地区是：

南欧-3.24%；拉丁美洲-2.94%；东欧-2.33%。

·下一阶段恶意软件

用于初始感染计算机的恶意对象会向受害者的计算机发送下一阶段的恶意软件——间谍软件、勒索软件和挖矿程序。

在设计用于在 Windows 上运行的挖矿程序中，最常见的是攻击者以带有合法软件的 NSIS 安装程序文件形式分发的挖矿程序。

·间谍软件

一般来说，ICS 计算机拦截初始感染恶意软件的比例越高，下一阶段恶意软件的比例就越高。

间谍软件拦截 ICS 计算机比例排名前三的地区如下：

非洲-6.65%；中东-5.89%；南欧-5.45%。

在几乎所有地区，间谍软件在威胁类别排名中，按被拦截的 ICS 计算机百分比计算，排名均不超过第三位，但以下地区除外：

东亚：在该地区，间谍软件是被拦截的 ICS 计算机中占比最高的恶意软件类别，为 3.68%。

中亚：在该地区，间谍软件在相关排名中位居第二，占比为 4.40%。

·隐蔽的加密货币挖掘程序

以 Windows 可执行文件形式存在的矿工，以 Windows 可执行文件形式拦截挖矿程序的 ICS 计算机占比排名前列的地区为：

中亚-1.78%；俄罗斯-1.38%；东欧-1.06%。

以 Windows 可执行文件形式出现的挖矿程序在全球威胁类别排名中位居第七（按被阻止的 ICS 计算机百分比计算）。他们在俄罗斯的相关排名中位居第四位，在中亚地区则位居第五位。

值得注意的是，2024 年第一季度，除俄罗斯和中亚地区外，所有地区阻止 Windows 可执行文件形式的矿工的 ICS 计算机百分比都有所增加。

·在浏览器中运行的网络矿工

根据阻止基于浏览器的网络挖掘程序的 ICS 计算机所占比例，排名前列的地区是：

非洲- 0.91%；中东-0.84%；澳大利亚和新西兰-0.78%。

在按被拦截的 ICS 计算机百分比对威胁类别进行的区域排名中，网络矿工在以下地区位居第五位：

澳大利亚和新西兰-0.78%；美国和加拿大-0.45%；北欧-0.27%。

在全球范围内，该威胁排名第八。2024 年第一季度，除俄罗斯和中亚以外，所有地区阻止基于浏览器的网络挖掘程序的 ICS 计算机的百分比都有所增加。

·勒索软件

被勒索软件拦截的 ICS 计算机比例最高的地区是：

中东-0.28%；非洲-0.27%；南亚-0.22%。

·自我传播的恶意软件——蠕虫和病毒

蠕虫和受病毒感染的文件最初用于初始感染，但随着僵尸网络功能的演变，它们呈现出了下一阶段的特征。

为了在 ICS 网络中传播，病毒和蠕虫依赖可移动媒体、网络文件夹、受感染文件（包括备份）以及对过时软件的网络攻击。

在三个地区，连接可移动介质时阻止威胁的 ICS 计算机百分比高于阻止邮件威胁的 ICS 计算机百分比， 尽管在其他所有地区该百分比都较低：

非洲 -5.6%（位居此排名首位）；南亚-2.46%；中亚-1.51%。

·蠕虫

被阻止蠕虫的 ICS 计算机所占比例领先的地区是：

非洲-5.29%；中亚-2.88%；中东-2.40%。

从全球来看，蠕虫在被拦截的 ICS 计算机占比的威胁类别排名中位居第六。在类似的地区排名中，蠕虫在以下四个地区位居第四：

非洲-5.29%；中亚-2.88%；中东-2.40%；南亚-1.95%。

其中两个地区在连接可移动介质时被阻止威胁的 ICS 计算机比例最高：

非洲-5.60%；南亚-2.46%。

·病毒

被拦截病毒的 ICS 计算机所占比例最高的地区是：

东南亚-7.61%；非洲-4.09%；东亚-2.89%。

在东南亚，病毒在被拦截的 ICS 计算机百分比威胁类别排名中位居第一 。

请注意，前三个地区中有两个在被拦截网络文件夹威胁的 ICS 计算机百分比方面也处于领先地位。

东南亚-0.43%；东亚-0.32%。

·AutoCAD 恶意软件

AutoCAD 恶意软件可以通过多种方式传播，因此它属于一个单独的类别。

病毒排名中领先的地区也是 AutoCAD 恶意软件被拦截的 ICS 计算机百分比最高的地区：

东南亚2.81%；东亚-1.49%；非洲-0.61%。

AutoCAD 恶意软件是一种次要威胁，通常按被阻止的 ICS 计算机百分比排名在恶意软件类别排名中排在最后。2024 年第一季度，在东南亚，该类别排名第五。

参考及来源：https://securelist.com/industrial-threat-landscape-q1-2024/112683/