Dragos hat seinen „2026 OT/ICS Cybersecurity Report and Year in Review“ veröffentlicht. Der Bericht analysiert weltweite Cyberbedrohungen gegen industrielle Steuerungssysteme (ICS) und kritische Infrastrukturen im Jahr 2025.

Demnach wurden drei neue OT-spezifische Angreifergruppen identifiziert: Sylvanite, Azurite und Pyroxen. Insgesamt beobachtet Dragos derzeit 26 Gruppen mit OT-Bezug, elf davon waren 2025 aktiv.

Sylvanite fungiert laut Bericht als Initial Access Broker und nutzt unter anderem Schwachstellen in Ivanti-Systemen, um Zugangsdaten aus Active Directory zu extrahieren. Die Gruppe gibt Zugänge an Voltzite weiter, das technische Überschneidungen mit Volt Typhoon aufweist.

Azurite zielt auf Engineering-Workstations und exfiltriert Betriebsdaten wie Netzwerkdiagramme und Prozessinformationen.

Pyroxene kompromittiert Lieferketten und nutzt Social Engineering, um von IT- in OT-Netzwerke vorzudringen. Im Juni 2025 setzte die Gruppe im Kontext eines regionalen Konflikts Wiper-Malware gegen kritische Infrastrukturen ein.

Auch bestehende Gruppen weiteten ihre Aktivitäten aus. Electrum führte 2025 mehrere destruktive Operationen durch, darunter Angriffe auf acht ukrainische Internetdienstanbieter sowie auf Kraft-Wärme-Kopplungsanlagen in Polen. Technische Überschneidungen bestehen mit Sandworm. Unterstützt wurde Electrum von Kamacite, das gezielt Regelkreise in US-Industrieanlagen analysierte, einschließlich HMIs, Frequenzumrichtern und Messmodulen.

Voltzite erreichte laut Dragos Stufe 2 der ICS-Cyber-Kill-Chain. Die Gruppe manipulierte Software auf Engineering-Workstations, um Konfigurations- und Alarmdaten zu extrahieren, und kompromittierte Sierra-Wireless-AirLink-Gateways in US-Pipeline-Betrieben.

Angriffe auf industrielle Ziele nehmen stark zu

Ransomware bleibt laut Bericht die größte Bedrohung für Industrieunternehmen. Dragos verfolgte 2025 insgesamt 119 aktive Ransomware-Gruppen mit Fokus auf industrielle Ziele, nach 80 im Vorjahr – ein Anstieg um 49 %. Weltweit waren 3300 Organisationen betroffen, mehr als zwei Drittel davon aus der Fertigungsindustrie. Die durchschnittliche Verweildauer in OT-Umgebungen lag branchenweit bei 42 Tagen.

„Die Bedrohungslage hat 2025 eine neue Qualität erreicht“, erklärte Robert M. Lee, CEO und Co-Founder von Dragos. „Angreifer analysieren genau, wie industrielle Steuerungssysteme funktionieren, verstehen, woher Befehle stammen, wie sie sich verbreiten und an welchen Stellen physische Auswirkungen ausgelöst werden können.“

Auch bei der Schwachstellenbewertung sieht Dragos Defizite: 25 % der 2025 von ICS-CERT und im National Vulnerability Database (NVD) erfassten ICS-Schwachstellen wiesen fehlerhafte CVSS-Werte auf. 26 % der Sicherheitshinweise enthielten weder Patches noch konkrete Abhilfemaßnahmen. Nur zwei Prozent der ICS-relevanten Schwachstellen stuft Dragos im eigenen „Now, Next, Never“-Modell als sofort kritisch ein.

Bei Untersuchungen zu Batterie-Energiespeichersystemen identifizierte Dragos Schwachstellen zur Umgehung von Authentifizierung und zur Befehlsinjektion. Mehr als 100 Geräte, darunter Wechselrichter mit rund einem Megawatt Leistung, waren frei über das Internet erreichbar.