Het afgelopen half jaar waren er dubbel zoveel cyberaanvallen tegen industriële doelwitten vergeleken met de zes maanden daarvoor. Aanvallen zijn bovendien steeds destructiever en hebben als doel om niet alleen informatie te stelen maar ook schade te berokkenen.
Cyberaanvallen die schade aanrichten aan bedrijven groeien aan populariteit. Volgens het X-Force IRIS-team van IBM, dat zich bezighoudt met de respons op dergelijke aanvallen, is het aantal van dergelijke aanvallen verdubbeld in de eerste zes maanden van dit jaar vergeleken met de periode daarvoor. X-Force IRIS baseert zich op de eigen tussenkomsten in die periode.
Schade als prioriteit
Het gaat om aanvallen zoals Industroyer, NotPletya en Stuxnet. Dergelijke malware verschilt van traditionele exemplaren omdat het de bedoeling is om schade aan te richten bij een infectie. Als hackers bedrijven aanvallen, is dat traditioneel om data te stelen en liefst ongedetecteerd te blijven. Ransomware, waarbij data gegijzeld wordt voor losgeld, is een andere populaire insteek. Dat nieuwe aanvallen focussen op het aanrichten van schade is dan ook relatief nieuw.
“Destructieve malware was vooral het domein van natiestaten”, vertellen de onderzoekers aan ZDNet. “Sinds het einde van 2018 hebben criminelen er echter elementen van overgenomen in hun eigen aanvallen.” De bevinding past in een bredere trend waarbij cyberwapens, ontwikkeld door staten, langzaamaan hun weg vinden tot in de handen van klassiekere criminelen.
Alles wissen
Populair zijn zogenaamde wipers. Dat is malware die, zoals de naam suggereert, data wist. Door computers in een industriële omgeving te infecteren en te wissen komt de productie in het gedrang. NotPetya had zo’n wiper aanboord in 2017, terwijl BlackEnergy en KillDisk de techniek gebruikten om delen van Oekraïne in 2015 zonder stroom te zetten.
Productie-omgevingen zijn het voornaamste doelwit van de nieuwe barrage van aanvallen. IBM merkt dat aanvallers zich vooral richten op ondernemingen binnen de olie- en gasindustrie maar ook op educatieve instellingen. De vectors zijn traditioneler: phishing blijft de populairste manier om een bedrijf te infecteren. Hackers gaan ook actief op zoek naar derden zoals toeleveringsbedrijven die misschien een minder goede beveiliging hebben dan het eigenlijke doelwit. Ze misbruiken dan de toegang van die bedrijven om alsnog binnen te raken en schade aan te richten.
Dure grap
Het Ponemon Institute schat de gemiddelde kost van een datalek op 3,86 miljoen dollar. De destructieve aanvallen hebben ter vergelijking een gemiddeld prijskaartje van 239 miljoen dollar. Het duurt ongeveer 512 uur om alles opnieuw op rails te krijgen na een incident, en 12.000 workstations worden gemiddeld besmet.
Gerelateerd: Kritieke lekken in industriële software maken Stuxnet-opvolger mogelijk