勒索软件仍是全球企业面临的最严峻的网络威胁之一。据Ransomware.live(一个收集并持续更新公开披露的勒索软件攻击信息的实时平台)最新发现,制造业是受勒索软件冲击最严重的行业之一,针对制造业的攻击在数量和复杂度上均出现了显著增长。制造业数据价值高,系统漏洞多,防护意识淡薄,备份机制缺失,数据一旦被加密,企业只能支付赎金以恢复生产运营。
据公开数据显示,2026年已有超过800起勒索软件受害案例被曝光。制造业成为焦点领域,其遭受攻击的数量在所有行业中位列第二,涉及315个活跃的勒索软件组织。不过因多数事件从未公开披露,实际数量可能远不止于此。
受攻击企业的行业属性数据集中,制造业仅次于科技行业,位居所有产业第二,领先于医疗、金融和零售等传统目标领域。这一排名表明针对制造企业的勒索软件攻击已非孤立事件——而是常态化现象。
2026年最活跃的勒索软件组织
对公开受害者数据的分析揭示,一批行动极为活跃的勒索软件组织已然崛起。当前最常出现的勒索软件组织包括:
SafePay:活动极其频繁且高度工业化
RansomHub:快速扩张的团体,公开披露攻击信息的概率很高
Akira:针对Windows和Linux环境,频繁攻击中大型企业
Qilin:国际化运作,反复锁定工业制造企业
Cl0p:以通过第三方软件和供应链渠道实施攻击而'出名'
LockBit:尽管政府采取反制措施仍具威胁性
这些团伙跨行业运作,常遵循相同模式:明确分工、高度自动化及采用双重勒索模式。该模式下攻击者加密数据并向企业威胁公开敏感信息。在IT与OT环境复杂的场景中这类威胁尤为成功,而这正是现代制造业的显著特征。
勒索软件受害者最多的前五名国家
除行业视角外,Ransomware.live的数据还揭示了勒索软件活动在地理上的高度集中。公开记录的大多数案例都发生在经济实力雄厚的少数国家:
美国
德国
加拿大
英国
印度
最引人注目的是美国与其他国家之间的巨大差距,美国报告的勒索软件‘受害者’数量是其他任何上榜国家的数倍之多。
这对制造企业意味着什么?
这些数据清晰表明:勒索软件已经对全球制造业的生产运营构成直接威胁,尽管并未直接涉及中国企业受攻击的情况,管中窥豹,可见一斑。保护OT/ICS( Industrial Control System, 工业控制系统)网络最有效的基础措施之一是建立清晰且持续执行的IT与OT系统隔离机制。IT系统应不能连接OT网络或从中提取数据,而OT系统应仅配置为单向向IT网络传输信息。
我们发现业内OT几乎实现了高度互联,但管理水平却参差不齐。大型企业已基本实现了自动化资产盘点,但中小型企业往往仍处于混合环境之中,数据透明度不高,管理盲点与漏洞由此产生,也为勒索软件攻击创造了条件。
值得一提的是,不同岗位角色对风险认知存在极大差异。一线的OT人员比高层管理更能识别诸如勒索软件之类的威胁,与此同时,运营中断的问题虽然在战术层面上得到了妥善处理,但在战略层面上却被低估了。大部分企业视安全为成本,而非价值,对OT安全的重视与投资远不及对IT安全的投入。
不久前我们报道了受网络攻击导致捷豹路虎(JLR)三家英国工厂全面停产,预计造成19亿英镑损失的事故(cr:捷豹路虎全球停产),此次事件给全球制造敲响了警钟,一次攻击足以瘫痪企业。
AMDT的建议
探索更有效的防护措施关键在离线备份、漏洞修补和全员反钓鱼培训,唯有主动检测与快速响应能筑起韧性防线。为有效保障制造流程安全,我们建议企业必须持续监控设备资产状况、已部署软件情况、版本信息及IT与OT系统间的依赖关系。这些信息需在日常运营中实时可查,而非在意外发生时才首次搜集整理。
那些能够系统记录其OT环境、跟踪设备和系统的变更情况,并在早期将安全考量因素融入日常生产流程的组织,能够更早地发现攻击行为,减少停机时间,并以更可控和及时的方式重新启动生产。
关于Octoplant
Octoplant是一款专门针对工业控制系统OT层程序备份与管理的企业级灾备软件,通过自动备份与差异比较对设备控制系统中的程序、配置、参数等‘隐形资产’进行保护与管理,及时识别未经授权的程序变更,在遭受攻击后企业可准确获取最近的配置备份,快速恢复生产,减少意外停机损失。
Octoplant的最大优势在于能广泛支持大多数主流的设备类型和品牌,包括PLC, SCADA, HMI, 机器人, CNC, IPC等,为您的工厂、车间、产线适配各类自动化工控设备的程序备份与版本管理方案,守住工业网络的安全防线。