1020 ransomware-инцидентов в промышленном секторе за один квартал. Не аномалия - новая норма. Данные Dragos (OT Cybersecurity Report, Q1 2026; рекомендуется сверяться с первоисточником). Manufacturing потерял 633 организации за три месяца. Qilin публикует жертв ежедневно - ransomware.live подтверждает: строительство, healthcare, бизнес-сервисы из Германии, Канады, США идут конвейером.
На OT-assessment'ах последнего года я вижу одну и ту же картину: FortiGate с уязвимостями двухлетней давности на границе IT/OT DMZ, historian на непатченном Windows Server, Modbus-трафик без единого байта аутентификации. Ransomware-операторам не нужен специализированный ICS-malware - достаточно зашифровать historian и ERP, чтобы завод встал. И они это знают.
OT безопасность 2026: ransomware как устойчивая угроза промышленным системам
Мотивация ransomware-операторов проста до цинизма: остановка производственной линии стоит десятки тысяч долларов в час, и владелец промышленного объекта платит выкуп быстрее, чем владелец зашифрованного файлового сервера. По данным Verizon DBIR 2025, медианный выкуп - $46 000. Для объекта с непрерывным циклом это часы простоя, а не дни переговоров. По данным IBM X-Force 2025, 70% расследованных инцидентов затронули критическую инфраструктуру. Ransomware в OT - не вопрос "если", а вопрос глубины проникновения до момента обнаружения.Распределение жертв за Q1 2026 по данным Dragos (OT Cybersecurity Report, Q1 2026 - рекомендуется сверяться с первоисточником):
| Сектор | Инциденты | Доля |
|---|---|---|
| Manufacturing (строительное производство, промышленное оборудование, пищевая промышленность) | 633 | 62% |
| ICS-экосистема (инженерные фирмы, системные интеграторы, производители оборудования АСУ ТП) | 139 | 14% |
| Транспорт и логистика | 87 | 9% |
| Прочие промышленные секторы | 161 | 15% |
ICS-экосистема как отдельная категория жертв - вот что здесь по-настоящему интересно. Атакуют не сами контроллеры, а тех, кто их проектирует и обслуживает. Это supply chain-вектор: компрометация одного системного интегратора потенциально открывает маршрут к десяткам конечных OT-объектов.
Активные ransomware-группы против промышленного сектора
Qilin держит первое место с марта 2025 - после Operation Cronos против LockBit (февраль 2024) и ухода RansomHub в офлайн в апреле 2025 группа агрессивно рекрутировала освободившихся аффилиатов. RaaS с двойным вымогательством: шифрование + публикация украденных данных. По данным TXOne, активность без признаков снижения.Akira - вторая по объёму, бьёт по manufacturing и промышленным сервисам в Северной Америке и Европе. Тоже RaaS.
The Gentleman заслуживает отдельного разговора. По данным Dragos (OT Cybersecurity Report, Q1 2026), 83 инцидента в Q1 2026 против 18 в Q4 2025 (рекомендуется сверяться с первоисточником) - рост более чем вчетверо за квартал. Группа рекрутирует пентестеров через underground-форумы, целится в enterprise-среды с высокой зависимостью от непрерывности операций. Доказательств наличия ICS-специфичного malware или возможности манипуляции OT-протоколами нет - operational impact возникает при деплое ransomware на Windows/(GNU/Linux) серверы, обслуживающие enterprise-приложения и OT-adjacent сервисы.
Северная Америка - почти 500 жертв за Q1, Европа - более 250 (по данным Dragos, рекомендуется сверяться с первоисточником). Активность целенаправленно обходит страны СНГ - The Gentleman, как и большинство RaaS-операций, явно запрещает targeting организаций в России и CIS-странах.
Геополитический контекст добавляет давления. По данным EclecticIQ, группы KAMACITE и ELECTRUM (связанные с конфликтом РФ-Украина) продолжают атаковать промышленные объекты: KAMACITE обеспечивает initial access через фишинг, затем передаёт управление ELECTRUM (по таксономии Dragos сопоставляется с Sandworm), которая специализируется на OT-impact - ей атрибутируется применение вайпера AcidPour в 2024 году (по данным SentinelLabs). VOLTZITE (обозначение Dragos для активности, отслеживаемой также как Volt Typhoon, PRC) использует скомпрометированные SOHO-роутеры для скрытого сбора данных об энергетике и водоснабжении. Dragos отслеживает новые threat groups - GRAPHITE, BAUXITE - угрозы множатся. По данным EclecticIQ, credential-based intrusions эволюционируют в identity-based атаки против ICS/OT, а физические диверсионные операции (рекомендуется сверяться с первоисточником) увеличились вчетверо с 2024 года - зафиксировано более 150 инцидентов гибридной войны.
SCADA атаки ransomware: kill chain Qilin в промышленной среде
Ни один из образцов ransomware, зафиксированных Dragos в Q1 2026, не содержал кода для прямого взаимодействия с промышленными протоколами. И вот в чём штука: ICS ransomware атаки на промышленные системы не требуют специализированного malware. Каскадный эффект от шифрования IT-систем (ERP, historian, виртуализация) распространяется на OT через конвергенцию IT/OT. Зачем писать эксплойт для ПЛК, если можно зашифровать historian и добиться того же результата?
Ниже - разбор kill chain Qilin с привязкой к MITRE ATT&CK.
Initial access: Fortinet на периметре OT-DMZ (T1190)
[Применимо: внешний пентест, периметр OT-DMZ, FortiOS/FortiProxy без актуальных патчей]По данным Mandiant M-Trends 2025, exploitation - вектор номер один для initial access (38% всех расследований). Qilin активно эксплуатирует уязвимости Fortinet для проникновения в промышленные сети.
CVE-2024-21762 - out-of-bounds write (CWE-787) в множестве ветвей FortiOS 6.0–7.4 (6.0.0–6.0.17, 6.2.0–6.2.15, 6.4.0–6.4.14, 7.0.0–7.0.13, 7.2.0–7.2.6, 7.4.0–7.4.2) и FortiProxy 1.0–7.4 (1.0.0–1.0.7, 1.1.0–1.1.6, 1.2.0–1.2.13, 2.0.0–2.0.13, 7.0.0–7.0.14, 7.2.0–7.2.8, 7.4.0–7.4.2). CVSS 9.8 (CRITICAL), вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - удалённая эксплуатация без аутентификации (PR:N), без взаимодействия с пользователем (UI:N). Специально сформированные HTTP-запросы дают RCE на устройстве. CISA добавила в KEV 9 февраля 2024 с пометкой "ransomware", дедлайн - 16 февраля 2024. CVE-2024-21762 присутствует в ежедневных KEV-фидах OTX AlienVault по состоянию на июнь 2026 - actively exploited.
CVE-2024-55591 - authentication bypass через альтернативный канал (CWE-288) в FortiOS 7.0.0–7.0.16, FortiProxy 7.0.0–7.0.19 и 7.2.0–7.2.12. NVD описывает именно эти ветви; Fortinet PSIRT advisory FG-IR-24-535 может включать дополнительные затронутые версии - рекомендуется сверяться с первоисточником. CVSS 9.8 (CRITICAL), тот же вектор. Эксплуатация через Node.js websocket module даёт удалённому атакующему super-admin привилегии. CISA KEV от 14 января 2025, пометка "ransomware".
При типичной OT-инсталляции FortiGate стоит между Level 3.5 (DMZ) и Level 4 (IT-сеть) по Purdue Model. Скомпрометированный FortiGate - прямой маршрут в historian-сегмент без дополнительных firewall. По данным TXOne, несмотря на патчи и предупреждения CISA, множество устройств Fortinet остаются непропатченными и доступными извне. Для Qilin это конвейер.
Когда вектор не работает: FortiOS пропатчен до fixed-версий по каждой ветви (для CVE-2024-21762: 7.4.3+, 7.2.7+, 7.0.14+, 6.4.15+, 6.2.16+, 6.0.18+; для CVE-2024-55591: FortiOS 7.0.17+, FortiProxy 7.2.13+, 7.0.20+; см. advisory FG-IR-24-015 и FG-IR-24-535) - эксплуатация не пройдёт. На периметре OT не Fortinet - вектор неприменим напрямую. Но по данным IBM X-Force 2025, среднее время между публикацией CVE и устранением в организации - 29 месяцев. Два с половиной года. Аналогичные дыры периодически всплывают у других вендоров сетевых устройств.
Обход endpoint-защиты: BYOVD в промышленной среде
[Применимо: внутренний пентест, Windows endpoints на Level 3–3.5 по Purdue, HVCI не активирован]После получения доступа во внутреннюю сеть Qilin применяет Bring Your Own Vulnerable Driver (BYOVD) для отключения AV и EDR. В BYOVD-кампаниях, ассоциируемых с ransomware-операторами уровня Qilin (по данным TXOne Annual OT/ICS Cybersecurity Report - рекомендуется сверяться с первоисточником для верификации атрибуции), фиксируются драйверы класса:
- eskle.sys, rwdrv.sys, hlpdrv.sys - подписанные драйверы из каталога loldrivers.io, фигурирующие в публичных отчётах о BYOVD-кампаниях разных ransomware-групп
- TPwSav.sys - легитимно подписанный драйвер (Toshiba Power Saver), есть в loldrivers.io, работает на ring 0. Через него атакующий получает прямой доступ к критической памяти и системным ресурсам без срабатывания security-алертов
Когда техника не работает:
| Условие | Результат |
|---|---|
| HVCI (Hypervisor-protected Code Integrity) включён | Загрузка уязвимых драйверов блокируется на уровне гипервизора |
| Microsoft Vulnerable Driver Blocklist активен и обновлён | Конкретные драйверы из арсенала Qilin блокируются при загрузке |
| Linux-based OT endpoints (SCADA-серверы на Linux) | BYOVD специфичен для Windows kernel, неприменим |
| Application whitelisting (SRP/AppLocker) настроен строго | Загрузка неразрешённых драйверов блокируется |
На практике в OT-средах HVCI включён крайне редко. Historian-серверы и engineering workstations сидят на Windows Server 2012 R2-2019, где HVCI либо не поддерживается, либо не активирован - боятся сломать совместимость с Wonderware, AVEVA, OSIsoft PI. Я это вижу на каждом втором assessment'е.
Lateral movement через IT/OT границу и impact
[Применимо: внутренний пентест, grey box, после получения доступа к Level 3 по Purdue]По данным CrowdStrike, среднее время lateral movement после initial access - 62 минуты, рекорд - 51 секунда. 75% вторжений в 2024 году использовали valid credentials. В OT-среде lateral movement идёт предсказуемым маршрутом через три точки перехода:
Historian-сервер (OSIsoft PI, Wonderware, AVEVA) - Level 3 по Purdue. Общается и с IT (Level 4–5), и с OT (Level 1–2). Windows Server + SQL-бэкенд, часто с дефолтными credentials (T1078.001, Default Accounts). По данным Zero Networks, каждый четвёртый пентест OT-среды обнаруживает дефолтные учётные записи. Каждый четвёртый.
Engineering workstation (EWS: TIA Portal для Siemens, Studio 5000 для Allen-Bradley) - часто имеет два сетевых интерфейса: один в IT-VLAN, второй напрямую в OT-сегмент. Компрометация EWS - маршрут в OT без прохождения промышленного firewall. По сути это мост, который никто не охраняет.
VPN подрядчика - по данным Dragos (рекомендуется сверяться с первоисточником), у 45% OT-организаций обнаружен SSH с публичными маршрутизируемыми адресами. Забытые VPN-туннели вендоров (Siemens, Schneider и др.) остаются активными месяцами после окончания работ. Подрядчик ушёл - туннель остался.
Impact Qilin по данным TXOne: после распространения ransomware вызываются три модуля - ShadowsRemover, ProcessKiller, ServicesKiller - подготавливающие систему к шифрованию. Persistence через ключи реестра Windows (T1547.001, Run/RunOnce). RunOnce - однократный запуск после перезагрузки (для завершения шифрования), Run - устойчивое закрепление. DLL-инъекция в
svchost.exe после включения SeDebugPrivilege через AdjustTokenPrivileges (T1055.001). Шифрование AES-256 с RSA-обёрткой ключей. Ransom note -RECOVER-README.txt в каждой директории.Для OT это каскад: зашифрованный historian = потеря visibility процессов. Зашифрованный ERP = остановка production planning. Зашифрованные HMI = оператор не видит параметры технологического процесса. По данным Group-IB, ransomware нарушает OT через "принцип предосторожности": когда оператор не может верифицировать состояние контроллеров, он инициирует аварийную остановку. Цель атакующего достигается без единой команды на ПЛК.
Примеры из Q1 2026, зафиксированные TXOne: IntraCare (healthcare) - системы офлайн, хирургические операции отложены; Hazeldenes (крупный производитель мяса птицы, Австралия) - остановка производства, дефицит продукции по цепочке поставок; Metro Лос-Анджелеса - мониторы на станциях перестали отображать расписание.
Промышленные системы управления угрозы: почему IT-защита слепнет в OT
IT-шные инструменты защиты в OT-среде слепнут по трём конкретным причинам. И это не абстрактные рассуждения - это то, что я вижу на каждом assessment'е.
Протоколы без аутентификации. Modbus TCP (порт 502) - любой хост в сегменте может отправить FC6 (Write Single Register) или FC16 (Write Multiple Registers) на ПЛК без верификации. DNP3 (порт 20000) формально поддерживает Secure Authentication, но инсталляции с SA - единичные проценты. S7comm (Siemens, порт 102) и EtherNet/IP CIP (Allen-Bradley, порт 44818) - та же история. CrowdStrike Falcon или SentinelOne не имеют диссекторов для этих протоколов и не отличат легитимный FC3 (Read Holding Registers) от malicious FC6 (Write Single Register). Для них это просто TCP-трафик.
Жизненный цикл 15–20 лет. По данным Group-IB, OT-системы работают десятилетиями, патчирование требует production halt, согласования с вендором и safety-ресертификации. По данным IBM X-Force, среднее время устранения CVE - 29 месяцев. В OT на практике - часто значительно дольше. Я видел Windows XP Embedded на действующих HMI в 2025 году.
Конвергенция IT/OT без сегментации. По данным Zero Networks, 65% OT-сред имеют нарушенную или отсутствующую сегментацию между IT и OT. DMZ между Level 3 и Level 3.5 по Purdue Model часто существует только на сетевой диаграмме - historian имеет маршрут и в IT, и в OT одновременно.
Разрыв детектирования выглядит так: IT EDR (CrowdStrike Falcon, SentinelOne) на endpoint зафиксирует BYOVD-загрузку подозрительного драйвера - но его нет на historian-сервере в OT. OT-мониторинг (Claroty, Dragos Platform, Nozomi Guardian) анализирует OT-трафик (Modbus, S7comm, CIP), но не имеет агента на каждом Windows-эндпоинте OT-сегмента. IT EDR не покрывает OT-хосты, OT-мониторинг не видит endpoint-активность - слепая зона на стыке, и именно через неё идёт ransomware.
Защита критической инфраструктуры от ransomware: recon и детектирование
Детектирование lateral movement (T1210): Client-server Payload Profiling (D3-CSPP) и Per Host Download-Upload Ratio Analysis (D3-PHDURA). В SigmaHQ - 15 правил по T1210, включая
win_audit_cve.yml для аудита CVE-exploit попыток.Чеклист для security-инженера OT:
- Проверить версии FortiOS/FortiProxy на периметре OT-DMZ - CVE-2024-21762 и CVE-2024-55591 требуют немедленного патча
- Включить Microsoft Vulnerable Driver Blocklist на всех Windows-хостах OT-сегмента (historian, EWS, HMI)
- Активировать HVCI на хостах с Windows Server 2019+ (проверить совместимость со SCADA-софтом перед активацией - Wonderware и AVEVA любят ломаться)
- Инвентаризировать VPN-туннели подрядчиков - отключить неиспользуемые, включить MFA на действующих
- Заменить дефолтные SQL-credentials на historian-серверах
- Настроить SPAN/TAP на коммутаторах OT-сегмента и подключить OT-мониторинг (Dragos Platform, Claroty, Nozomi Guardian)
- Импортировать Sigma-правила T1190, T1210, T1078.001 в SIEM с привязкой к логам устройств OT-DMZ
- Сегментировать historian: whitelist-правила на промышленном firewall - только санкционированные IP
- Настроить алертинг на FC6/FC16 (Modbus Write) с нестандартных источников
- Провести аудит USB-политик: по данным IIoT World (рекомендуется сверяться с первоисточником), USB-устройства и ноутбуки подрядчиков - вектор в 27% OT-инцидентов
Ransomware в промышленном секторе перешёл из фазы "это может случиться" в фазу "это случается еженедельно". 1020 инцидентов за квартал - 1020 реальных объектов, где кто-то решал, платить выкуп или запускать incident response на production-среде с historian'ом без бэкапов.
Позиция, которую я наблюдаю в большинстве промышленных организаций: "мы не настолько интересны для APT". Это заблуждение. Qilin не целится в конкретный завод - она автоматизирует exploitation Fortinet-устройств на масштабе и публикует тех, кто не заплатил. The Gentleman рекрутирует пентестеров за процент от выкупа. Это не APT - это бизнес, и непатченный FortiGate для них такой же товар, как любой другой скомпрометированный периметр.
Индустрия продолжает вкладываться в бумажную безопасность, пока 29-месячный gap между публикацией CVE и патчем остаётся нормой. Мой прогноз: к концу 2026 года число ransomware-групп, атакующих OT, вырастет ещё минимум на треть - потому что это работает и платят быстрее, чем в классическом enterprise. Единственный реалистичный ответ - сегментация, visibility и скорость реакции на периметре. Пока среднее время устранения CVE считается в годах, атакующий будет быстрее защитника. Если хочешь собрать полную цепочку от скомпрометированного периметра до internal services на живом стенде - стенды с подобным сценарием лежат на HackerLab.pro (https://hackerlab.pro).
Последнее редактирование модератором:
