Angreppen sker oftast i form av nätfiskeattacker, som går ut på att lura anställda till att klicka på skadliga bilagor eller länkar i realistiska och välformulerade e-mail. Offrens datorer används sedan av angriparna för att sprida vidare skadlig kod till affärspartner och kunder. Kaspersky beräknar att känslig information från över 7000 företagskonton redan har blivit stulna på detta sätt. 

De känsliga uppgifterna som hämtas från ICS-datorer hamnar ofta på olika marknadsplatser. Kasperskys experter identifierade mer än 25 olika marknadsplatser där de stulna referenserna såldes. Analyser av dessa marknadsplatser visade på stor efterfrågan på företagskontouppgifter, särskilt för Remote Desktop Accounts (RDP). Över 46 procent av alla RDP-konton som säljs på analyserade marknadsplatser ägs av företag i USA, medan resten kommer från Asien, Europa och Latinamerika. Nästan 4 procent (närmare 2 000 konton) av alla RDP-konton som såldes tillhörde industriföretag. 

En annan växande marknad är Spyware-as-a-Service. Sedan källkoder för vissa populära spionprogram har gjorts offentliga har de också blivit tillgängliga i onlinebutiker i form av en tjänst. Utvecklare säljer inte bara skadlig programvara som en produkt utan också en licens för en slags konstruktör av skadlig programvara samt tillgång till förkonfigurerad infrastruktur att bygga skadlig programvara. 

– Under 2021 använde cyberbrottslingar i stor utsträckning spionprogram för att attackera industridatorer. Idag ser vi en ny, snabbt utvecklande trend. För att undvika att bli upptäckt, krymper brottslingar storleken på attackerna och begränsar användningen av varje skadlig programvara genom att snabbt tvinga systemet att ersätta den med en nybyggd. Det här skiljer sig från allt vi har sett i spionprogram tidigare och vi förväntar oss att dessa attacker kommer att öka under det kommande året, säger Kirill Kruglov, säkerhetsexpert på Kaspersky ICS CERT.