بررسی فعالیت‌های باج‌افزاری مؤثر بر محیط‌های فناوری عملیاتی

به گزارش کارگروه بین‌الملل سایبربان؛ شرکت دراگوس (Dragos) در کنار افزایش شدید فعالیت‌های باج‌افزاری که بر محیط‌های فناوری عملیاتی (OT) تأثیر می‌گذارند، تغییر از فعالیت‌های شناسایی به فعالیت‌های سایبری متمرکز بر عملیات‌ها را در سراسر زیرساخت‌های صنعتی شناسایی کرد.

این شرکت در گزارش امنیت سایبری فناوری عملیاتی/سیستم‌های کنترل صنعتی (OT/ICS) اعلام کرد که دشمنان به طور فزاینده‌ای به جای هدف قرار دادن دستگاه‌های جداگانه، کل سیستم‌های کنترل صنعتی را نقشه‌برداری می‌کنند. این گزارش که اکنون در نهمین سال خود است، سه گروه تهدید جدید متمرکز بر فناوری عملیاتی را شناسایی و رشد مداوم باج‌افزارهایی را مستند کرد که سازمان‌های صنعتی را هدف قرار می‌دهند.

دراگوس، «AZURITE»، «PYROXENE» و «SYLVANITE» را به فهرست ردیابی خود اضافه کرد و تعداد کل گروه‌های تهدید فناوری عملیاتی تحت نظارت را به 26 مورد رساند که 11 مورد از آنها در سال 2025 فعال بوده‌اند.

به گفته محققان، SYLVANITE به عنوان یک کارگزار دسترسی اولیه عمل، از آسیب‌پذیری‌ها سوءاستفاده و جایگاه‌های تثبیت‌شده را برای نفوذهای عمیق‌تر فناوری عملیاتی به VOLTZITE واگذار می‌کند. این گروه تأسیسات برق و آب ایالات متحده را هدف قرار داده، از آسیب‌پذیری‌های ایوانتی (Ivanti) سوءاستفاده و اعتبارنامه‌های «Active Directory» را استخراج کرده است. AZURITE بر دسترسی بلندمدت و سرقت داده‌های عملیاتی از ایستگاه‌های کاری مهندسی در سراسر ایالات متحده، استرالیا، اروپا و آسیا و اقیانوسیه تمرکز داشت. PYROXENE با هدف قرار دادن بخش‌های هوانوردی، هوافضا، دفاع و دریانوردی در ایالات متحده، اروپای غربی و خاورمیانه، به نفوذ در زنجیره تأمین و کمپین‌های مهندسی اجتماعی دست زد.

این گزارش همچنین پیشرفت در میان عوامل تهدید شناخته‌شده را برجسته کرد. «ELECTRUM» در طول سال 2025 عملیات‌های مخربی، از جمله حملات به ارائه دهندگان خدمات اینترنت (ISP) اوکراینی و تلاش برای تأثیرگذاری بر دارایی‌های عملیاتی در تأسیسات ترکیبی گرما و برق و سیستم‌های انرژی تجدیدپذیر در لهستان، انجام داد. «KAMACITE» در حال نقشه‌برداری از حلقه‌های کنترل در سراسر زیرساخت‌های ایالات متحده، اسکن اجزای صنعتی از جمله HMIها و درایوهای فرکانس متغیر مشاهده شد. VOLTZITE که همپوشانی‌های فنی با فعالیت «Volt Typhoon» دارد، پس از دستکاری نرم‌افزار ایستگاه‌های کاری مهندسی و به خطر انداختن دروازه‌های سلولی برای دسترسی به عملیات‌ها، به مرحله 2 زنجیره کشتار سایبری سیستم‌های کنترل صنعتی ارتقا یافت.

باج‌افزار همچنان مخرب‌ترین دسته تهدید بود. دراگوس ۱۱۹ گروه باج‌افزاری را که در سال ۲۰۲۵ سازمان‌های صنعتی را هدف قرار داده بودند، ردیابی کرد که نسبت به ۸۰ گروه در سال قبل افزایش یافته و نشان دهنده افزایش ۴۹ درصدی گروه‌هایی است که به محیط‌های فناوری عملیاتی دسترسی دارند و افزایش ۶۴ درصدی حملات کلی نسبت به سال قبل است. بیش از ۳۳۰۰ سازمان در سطح جهان تحت تأثیر قرار گرفتند که بیش از دو سوم قربانیان را بخش تولید تشکیل می‌داد. میانگین زمان ماندگاری باج‌افزارها در محیط‌های فناوری عملیاتی، ۴۲ روز بود.

در این گزارش اشاره شده است که بسیاری از حوادث به اشتباه به عنوان رویدادهای مختص فناوری اطلاعات طبقه‌بندی می‌شوند، زیرا دارایی‌های فناوری عملیاتی مانند ایستگاه‌های کاری مهندسی و رابط‌های انسان و ماشین بر سیستم عامل‌های استاندارد اجرا می‌شوند.

دراگوس همچنین مشکلاتی در اولویت‌بندی آسیب‌پذیری‌ها یافت. گزارش داد که ۲5 درصد از ورودی‌های تیم واکنش اضطراری رایانه‌ای مسئول سیستم‌های کنترل صنعتی (ICS-CERT) و پایگاه داده ملی آسیب‌پذیری در سال ۲۰۲۵ حاوی نمرات سیستم نمره‌دهی آسیب‌پذیری عام (CVSS) نادرست بوده‌اند و ۲۶ درصد از توصیه‌ها فاقد پچ‌ها یا راهکارهای کاهش آسیب‌پذیری فروشندگان بوده‌اند. طبق مدل اولویت‌بندی مبتنی بر ریسک دراگوس، تنها ۲ درصد از آسیب‌پذیری‌های مرتبط با سیستم‌های کنترل صنعتی نیاز به اقدام فوری داشتند. در تحقیقاتی که روی سیستم‌های ذخیره انرژی باتری متمرکز بود، شرکت دراگوس نقص‌های دور زدن احراز هویت و تزریق دستور را شناسایی کرد و بیش از ۱۰۰ دستگاه در معرض اینترنت، از جمله اینورترهای برق در مقیاس شبکه، شناسایی شدند.

شرکت اعلام کرد سازمان‌هایی که قابلیت دید جامع فناوری عملیاتی دارند، حوادث باج‌افزاری فناوری عملیاتی را به طور متوسط در 5 روز شناسایی و مهار می‌کنند، در مقایسه با میانگین کلی صنعت که ۴۲ روز است، که نقش بلوغ نظارت و تشخیص را در محدود کردن اختلال عملیاتی برجسته می‌کند.