Nieuw onderzoek van Trend Micro geeft inzicht in het gevaar van ransomware-aanvallen die specifiek gericht zijn op industriële organisaties. De aanvallen brengen onder meer risico op downtime en diefstal van gevoelige gegevens met zich mee.
Industrial Control Systems (ICS) zijn een essentieel onderdeel van fabrieken, utiliteitsbedrijven en andere industriële processen waar veel gebruik wordt gemaakt van IT- en OT-netwerken. Als deze systemen besmet raken met ransomware, kan een fabriek zo meerdere dagen platliggen en kunnen er gevoelige data (zoals ontwerpen en programma’s) opduiken op het dark web.
Volgens het rapport van Trend Micro komen vooral Ryuk (20%), Nefilim (14,6%), Sodinokibi (13,5%) en LockBit (10,4%) veel voor bij ransomware-besmettingen van ICS. Samen zijn deze soorten malware goed voor ruim 50% van de aanvallen.
Naast malware-aanvallen, blijkt uit het Trend Micro-rapport dat cybercriminelen ICS-endpoints ook relatief vaak infecteren om cryptocurrencies te minen. In de meeste gevallen (51,9%) gebruikten aanvallers hier MALXMR voor. Aanvallers die ICS-endpoints aanvallen om crypto te minen, maken gebruik van ongepatchte besturingssystemen die nog kwetsbaar zijn voor Eternalblue.
Wat kun je doel om een ransomware-aanval tegen te gaan?
Industriële controlesystemen worden veel ingezet voor de kritieke infrastructuur in België. Om deze systemen beter te beveiligen, doet Trend Micro een aantal aanbevelingen.
Als eerste onderstreept Trend Micro het belang van direct patchen. Als dat niet mogelijk is, kunnen organisaties overwegen om gebruik te maken van virtuele patching. Netwerksegmentatie is altijd een goed idee.
Het is belangrijk om ransomware te vangen voordat die binnendringt. Dat kan door de root causes van de infectie te mitigeren via application control software. Om de root causes snel aan te pakken, is het belangrijk om een eventuele aanval zo snel mogelijk te detecteren.
Door middel van IDS of IPS kunnen organisaties normaal netwerkgebruik in kaart brengen. Daardoor valt het vervolgens meer op wanneer er verdachte activiteiten plaatsvinden binnen het netwerk.
Verder blijft het belangrijk dat werknemers een sterke gebruikersnaam en wachtwoordcombinatie gebruiken. Zo voorkomen ze ongeautoriseerde toegang middels credential brute forcing. Ten slotte, kunnen organisaties het principe van ‘least privilege’ toevoegen aan beheerders van hun OT-netwerk, om de gevolgen van een eventuele inbraak te beperken.