OT-cyberdreigingen van spionage naar verstoring. Dit blijkt uit de onlangs gepubliceerde analyse van Dragos met betrekking tot cyberdreigingen voor operationele technologie (OT) en industriële controlesystemen (ICS). In de analyse wordt gewaarschuwd dat aanvallers verder gaan dan verkenning en steeds vaker proberen om kritieke infrastructuur te verstoren. Volgens het rapport opereren tegenstanders steeds vaker in gecoördineerde groepen en richten ze zich op hoe regelsystemen functioneren, in plaats van dat ze geïsoleerde apparaten aanpakken.
Nieuwe groepen
Dragos identificeerde in 2025 drie nieuwe OT-dreigingsgroepen: AZURITE, PYROXENE en SYLVANITE. Ze volgen nu wereldwijd 26 OT-dreigingsgroepen, waarvan er 11 actief waren in 2025. Dragos observeerde SYLVANITE tijdens incidentresponswerk bij Amerikaanse elektriciteits- en waternutsbedrijven, waar het Ivanti-kwetsbaarheden uitbuit en Active Directory-inloggegevens haalde. AZURITE richt zich volgens Dragos op langdurige toegang en diefstal van OT-gegevens, waarbij technische werkstations worden gekozen en operationele data zoals netwerkdiagrammen, alarmgegevens en procesinformatie worden geëxfiltreerd. PYROXEEN wordt beschreven als het gebruik van ‘supply chain compromise’ en social engineering. Deze laatstgenoemde maakt gebruik van de eerste toegang die door PARISITE wordt verstrekt voordat wordt geprobeerd over te stappen van IT- naar OT-netwerken.
Operationele impact
Het rapport beschrijft een verschuiving van informatieverzameling naar acties die fysieke processen kunnen beïnvloeden. Dragos zei dat ELECTRUM in 2025 meerdere destructieve operaties uitvoerde, waaronder een aanval op acht Oekraïense internetproviders en de inzet van nieuwe ‘wiper-malware’-varianten. Tevens wordt gemeld dat later gecombineerde warmte- en energiecentrales en hernieuwbare energiebeheersystemen in Polen zijn aangevallen door ELECTRUM. Dit zijn opzettelijke pogingen om operationele activa te beïnvloeden. Dragos laat ook weten dat KAMACITE zich uitbreidde van op Oekraïne gerichte activiteiten naar een Europese toeleveringsketencampagne en vervolgens tussen maart en juli 2025 langdurige verkenning uitvoerde van Amerikaanse industriële apparaten. Dragos zei dat de groep ‘volledige controlelussen’ scande en zich richtte op mens-machine interfaces, frequentiefrequentie-aandrijvingen, meetmodules en mobiele gateways.
Procesuitschakelingen
Dragos zei dat het VOLTZITE naar Fase 2 van de ICS Cyber Kill Chain is gebracht. Het bedrijf zegt dat VOLTZITE engineeringwerkstationsoftware manipuleerde, configuratiebestanden en alarmgegevens extraheerde en operationele omstandigheden onderzocht die procesuitschakelingen konden veroorzaken. Verder zijn ook via ‘Sierra Wireless AirLink’ mobiele gateways Amerikaanse ‘midstream pipeline’-operaties gecompromitteerd, om vervolgens te kunnen overstappen op engineeringwerkstations.
Dragos zegt in het rapport dat de doelwitten onder meer aan internet-blootgestelde mens machine interfaces waren, alsmede verkeerd geconfigureerde engineeringwerkstations. Tevens werden open field protocollen genoemd, zoals Modbus/TCP en DNP3, als onderdeel van het aanvalsoppervlak.
Ransomware
Ransomware blijft volgens het rapport de meest ontwrichtende dreigingscategorie voor industriële organisaties. Dragos zei dat ransomwaregroepen die zich richten op industriële organisaties met 64% toenamen op jaarbasis. In 2025 volgde het 119 groepen, een stijging ten opzichte van 80 in 2024, en zei dat aanvallen 3.300 organisaties troffen. De productie was verantwoordelijk voor meer dan tweederde van de slachtoffers, zei Dragos. Ook werd een gemiddelde dwell-time van 42 dagen voor ransomware in OT-omgevingen gerapporteerd. Dragos schreef de trage respons deels toe aan hoe organisaties apparaten classificeren. OT-assets, zoals engineeringwerkstations en mens machine interfaces, worden soms ten onrechte als IT-systemen geclassificeerd, omdat ze onder Windows draaien. Hierdoor worden incidenten soms ten onrechte als ‘alleen IT’ behandeld.
