工业巨头霍尼韦尔周三发布了《2025年网络安全威胁报告》，报告显示，勒索软件和其他恶意软件攻击在工业领域激增。

霍尼韦尔的报告基于开源情报 (OSINT) 和行业消息来源显示，针对工业组织的勒索软件攻击显著增加。虽然这些攻击不一定会影响运营技术 (OT) 系统，但在 2024 年向美国证券交易委员会 (SEC) 报告的 55 起网络安全事件中，超过一半确实影响了 OT 系统。

然而，霍尼韦尔最新报告中最有趣的发现是基于该公司自己的工业网络安全产品收集的数据，这些产品可以监控网络攻击、扫描 USB 驱动器中的恶意软件并提供威胁和风险情报。

该公司的 SMX USB 扫描解决方案在 2024 年第四季度和 2025 年第一季度检查了超过 3100 万个文件，阻止了近 5,000 个文件并检测到超过 1,800 个独特威胁，其中包括 124 个以前未见过的威胁。

最常见的恶意软件是 Win32.Worm.Ramnit、Trojan.scar/shyape、Trojan.lokibot/stealer 和 Win32.Worm.Sohanad，占检测总数的 42%。

其中最引人注目的是Ramnit，这是一款存在多年的Windows恶意软件，并且拥有多个变种。Ramnit蠕虫和病毒可以通过USB闪存盘传播，而木马病毒则能让攻击者控制受害者的电脑，窃取银行数据和凭证等敏感信息。

霍尼韦尔发现，2024 年第四季度的 Ramnit 感染率与同年第二季度相比增加了 3,000%。 

霍尼韦尔解释道：“W32.Rmnit 主要是一种用于窃取账户凭证的银行木马；然而，鉴于其在霍尼韦尔工业客户生态系统中的存在程度已达到饱和，因此很可能假设它已被重新用于提取控制系统凭证。”

霍尼韦尔 OT 网络安全工程总监兼报告作者保罗·史密斯 (Paul Smith) 告诉SecurityWeek，转向工业控制系统 (ICS) 凭证的假设是基于这样一个事实：该公司在 2024 年第一季度没有检测到 Ramnit 感染，但它很快成为检测次数最多的威胁。 

史密斯表示：“我们发现并阻止了数以千计的工具、木马、间谍软件、勒索软件、加密锁以及恶意文件的许多迭代和变种，这些文件是由心不在焉的员工、渗透测试人员、红队成员、蓝队成员，甚至是国家级威胁行为者潜入组织的。”

Smith 解释道：“鉴于目前的趋势以及 Ramnit 在过去三个季度中一直处于领先地位，人们不禁要问，这究竟是一次定向攻击，还是一种易于分发的高效凭证提取工具。”

专家指出，许多 ICS 产品都在 Windows 设备上运行，考虑到目标系统很可能已经托管了所需的 LOL 工具，这种利用 living-off-the-land (LOL) 二进制文件进行恶意活动的恶意软件成为寻求控制系统凭证的威胁行为者的首选武器也就不足为奇了。

— 欢迎关注

原文始发于微信公众号（祺印说信安）：霍尼韦尔的报告显示Ramnit 恶意软件感染在OT中激增