Sophos heeft vandaag een sectoraal onderzoeksrapport vrijgegeven, “The State of Ransomware in Critical Infrastructure 2024”, waaruit blijkt dat de mediane herstelkosten voor twee sectoren met kritieke infrastructuur, energie en water, in het afgelopen jaar zijn verviervoudigd tot $3 miljoen. Dat is vier keer hoger dan de wereldwijde sectoroverschrijdende mediaan. Bovendien begon 49% van de ransomware-aanvallen tegen deze twee sectoren met kritieke infrastructuur met een uitbuiting van een kwetsbaardheid.
De gegevens voor het State of Ransomware in Critical Infrastructure 2024-rapport zijn afkomstig van 275 respondenten in energie-, olie en gas- en nutsbedrijven, die onder de energie- en watersectoren van de 16 gedefinieerde sectoren met kritieke infrastructuur van het CISA vallen. De resultaten voor dit sectoraal onderzoeksrapport maken deel uit van een breder, leveranciersonafhankelijk onderzoek bij 5.000 cybersecurity-/IT-leiders dat werd uitgevoerd tussen januari en februari 2024 in 14 landen en 15 industriële sectoren.
“Criminelen kijken waar ze de meeste pijn en verstoring kunnen veroorzaken, zodat het publiek snelle oplossingen zal eisen, en ze hopen dat het betalen van losgeld de diensten sneller zal herstellen. Dat maakt van nutsbedrijven een van de belangrijkste doelwitten voor ransomware-aanvallen. Wegens de essentiële functies die ze bieden, eist de moderne maatschappij dat ze snel en met minimale verstoring opnieuw operatief zijn,” zegt Chester Wisniewski, Global Field CTO.
“Helaas zijn openbare nutsbedrijven niet alleen aantrekkelijke doelwitten, maar ook kwetsbaar voor aanvallen op veel fronten, zoals de eis van hoge beschikbaarheid en veiligheid, en een engineering mindset gericht op fysieke beveiliging. Er is een overwicht aan oudere technologieën die zijn geconfigureerd voor beheer op afstand, zonder moderne beveiligingscontroles zoals versleuteling en multifactorauthenticatie. Net als ziekenhuizen en scholen werken deze nutsbedrijven vaak met een minimale personeelsbezetting en zonder het IT-personeel dat nodig is om op de hoogte te blijven van patches, de nieuwste beveiligingskwetsbaarheden en de monitoring voor vroege opsporing en respons.”
Naast de toenemende herstelkosten steeg het mediane losgeld voor organisaties in deze twee sectoren naar meer dan $2,5 miljoen in 2024 – $500.0000 hoger dan de wereldwijde sector overschrijdende mediaan. De energie- en watersectoren rapporteerden ook het op een na hoogste percentage ransomware-aanvallen. In totaal meldden 67% van de organisaties in deze sectoren dat ze in 2024 werden getroffen door ransomware, in vergelijking met het wereldwijde sectoroverschrijdende gemiddelde van 59%.
Andere bevindingen uit het onderzoek:
- De energie- en watersectoren rapporteerden steeds langere hersteltijden. Slechts 20% van de organisaties die werden getroffen door ransomware konden in 2024 binnen een week of minder herstellen, vergeleken met 41% in 2023 en 50% in 2022. Vijfenvijftig procent had meer dan een maand nodig om te herstellen, tegenover 36% in 2023. Ter vergelijking: over alle sectoren heen, had slechts 35% van de bedrijven meer dan een maand nodig om te herstellen.
- Deze twee sectoren met kritieke infrastructuur rapporteerden het hoogste percentage gecompromitteerde back-ups (79%) en het op twee na hoogste percentage succesvolle versleuteling (80%) in vergelijking met de andere onderzochte sectoren.
“Dit bewijst eens te meer dat het betalen van losgeld bijna altijd in strijd is met onze belangen. Een toenemend aantal (61%) betaalde het losgeld als onderdeel van hun herstel, maar de tijd om te herstellen was langer. Niet alleen moedigen deze hoge percentages en losgeldsommen meer aanvallen op de sector aan, ze bereiken ook niet de doelstelling van kortere hersteltijden,” zegt Wisniewski.
Deze nutsbedrijven moeten erkennen dat ze een doelwit zijn en proactief actie ondernemen om hun blootstelling aan toegang op afstand en netwerkapparaten te monitoren op kwetsbaarheden en ervoor te zorgen dat ze 24/7 monitoring- en responsmogelijkheden hebben om de uitval te beperken en de herstelperiode te verkorten. Plannen voor het reageren op incidenten moeten op voorhand worden vastgelegd, net als plannen voor branden, overstromingen, orkanen en aardbevingen, en ze moeten regelmatig worden geoefend.
Lees het volledige State of Ransomware in Critical Infrastructure op Sophos.com.