Dragos OT kiberbiztonsági jelentés (2026)
2026 február 17-én megjelent a Dragos éves OT kiberbiztonsági jelentése, amely a Dragos Intelligence Fabric által gyűjtött adatokon, elsődlegesen platform-telemetriákon, incidenskezelési eseteken és fenyegetéselemzéseken alapul. A Dragos kilenc évvel ezelőtt azonosította, hogy az OT)eszközök tulajdonosai nem rendelkeztek hasznosítható információkkal az OT kiberfenyegetésekről és hogy mit kell tenniük a védekezés érdekében. Azóta minden évben megosztják a tapasztalataikat a nyilvánossággal.
A 2026-os Dragos OT kiberbiztonsági jelentés alapvető változást tár fel a fenyegetések terén: a fenyegetési szereplők már aktívan feltérképezik a vezérlési hurkokat és próbálják megértik, hogyan lehet manipulálni a fizikai folyamatokat.
ÚJ OT FENYEGETÉSI CSOPORTOK
Az AZURITE kifejezetten a mérnöki munkaállomásokat célozza meg, ahol az operátorok megváltoztatják a vezérlő logikáját és fizikai folyamatokkal lépnek kapcsolatba. Az AZURITE gyorsan beépíti a nyilvánosan elérhető proof-of-concept kódokat a működésébe, kihasználva a POC elérhetősége és a szervezetek által telepített javítások közötti időeltolódást. Riasztási adatokat, konfigurációs fájlokat és működési információkat szivárogtatnak ki, amelyek csak a működés megzavarására használhatók fel.
A PYROXENE többéves ellátási lánc-kampányokat folytat, social engineering technikákat alkalmaz az operatív személyzet ellen. Hamis LinkedIn-profilokat hoznak létre, amelyeken toborzóknak álcázzák magukat, hogy az operatív munkát végző embereket megcélozzák. 2025 júniusban egy regionális konfliktus során egyedi wiper malware-t telepítettek izraeli célpontokra, demonstrálva az előre elhelyezett hozzáférés gyors aktiválását.
A SYLVANITE kezdeti hozzáférési szolgáltatóként működik, fegyverként használja az edge eszközök sérülékenységeit, kihasználja a rendszereket, mielőtt a javításokat széles körben alkalmaznák, és átadja a hozzáférést a Stage 2 szereplőknek, például a VOLTZITE-nak. A Dragos közvetlenül megfigyelte ezt a folyamatot, amely jól szemlélteti, hogyan rövidítik le a kiberszereplők a cyber kill chain folyamatát.
Az új fenyegetési szereplők mellett a Dragos szerint a KAMACITE és az ELECTRUM – amelyek felelősek Ukrajna 2015-ös és 2016-os áramkimaradásaiért – a világ legtapasztaltabb fenyegetési szereplői az OT környezetek tekintetében. 2025-ben az ukrán műveletekről visszatértek Európába és az Egyesült Államokba.
2025 decemberben az ELECTRUM a lengyel energiainfrastruktúrát vette célba az első nagy léptékű, koordinált támadásban, amely a szélerőműparkok és a napenergia-létesítményekhez hasonló elosztott energiaforrásokat érintette.
A VOLTZITE elérte a Stage 2 képességeit azzal, hogy manipulálta a mérnöki munkaállomásokat, hogy konfigurációs fájlokat és riasztási adatokat szerezzen meg, és kivizsgálja, hogy mi váltja ki a folyamatok leállását. A BAUXITE a hacktivista rongálásoktól a regionális konfliktusok során használt egyedi törlőprogramok telepítéséig jutott el.
RANSOMWARE-EK AZ OT-BAN
A Dragos 119 ransomware csoportot követett nyomon, amelyek 2025-ben 3300 ipari szervezetet érintettek, ami 49 százalékos növekedést jelent a 2024-es 80 csoporthoz képest. Az áldozatok több mint kétharmada a gyártóiparból származott. A Dragos Incident Response jelentős működési zavarokat észlelt az összes 2025-ben kezelt OT ransomware esetben.
A tényleges szám valószínűleg ennél jóval magasabb. Sok incidenst tévesen „IT-incidensként” jelölnek meg, amikor a SCADA szoftvert futtató Windows-kiszolgálók vagy mérnöki munkaállomások kompromittálódnak. A ransomware-csoportok jellemzően az OT-alkalmazásokat futtató VMware ESXi hipervizorokat veszik célba. Amikor a virtualizációs infrastruktúrát titkosítják, az üzemeltetők elveszítik a vizibilitást és az irányítást, még akkor is, ha a fizikai berendezések továbbra is működőképesek.
SÉRÜLÉKENYSÉGEK
A Dragos megállapította, hogy 2025-ben az ICS-CERT és az NVD sérülékenységek 25%-a helytelen CVSS-pontszámmal rendelkezett, és a figyelmeztetések 26%-a nem tartalmazott javítást vagy enyhítő intézkedést a gyártóktól. Az ICS-hez kapcsolódó sérülékenységek mindössze 2%-a minősült „azonnali” prioritásúnak, amely azonnali intézkedést igényel a Dragos kockázatalapú „Now, Next, Never” modellje szerint.
A Dragos akkumulátoros energiatároló rendszerekkel (BESS) kapcsolatos kutatása hitelesítés megkerülését és a parancsbeviteli sérülékenységeket azonosított, több mint 100 internethez kapcsolódó eszközt találtak, beleértve a villamosenergia-szolgáltatóknak hálózati áramellátást biztosító, ~1 MW teljesítményű invertereket.
