Nieuw onderzoek van Trend Micro naar de groeiende risico’s van downtime en de diefstal van gevoelige gegevens na ransomware-aanvallen die specifiek zijn gericht op industriële organisaties geeft inzicht in het gevaar van deze aanvallen op industriële systemen.
Deze Industrial Control Systems (ICS) vormen een cruciaal onderdeel van fabrieken, utility-bedrijven en andere industriële bedrijven waar veel gebruik wordt gemaakt van industriële processen en IT/OT-netwerken. Wanneer deze systemen besmet raken met ransomware, kan het zomaar zijn dat een fabriek dagen uit bedrijf is en dat gevoelige data, waaronder ontwerpen en programma’s, ineens opduiken op het dark web.
Het onderzoek van Trend Micro laat zien dat Ryuk (20%), Nefilim (14.6%), Sodinokibi (13.5%) en LockBit (10.4%) garant staan voor meer dan de helft van alle ICS ransomware-besmettingen in 2020. Het rapport wijst tevens uit dat cybercriminelen ICS-endpoints ook relatief vaak infecteren om cryptocurrencies te minen. Ze gebruiken hiervoor ongepatchte besturingssystemen die nog kwetsbaar zijn voor EternalBlue.
Om de security van deze systemen, die ook vaak worden ingezet in de zogenaamde kritieke infrastructuur in Nederland, op een hoger plan te brengen, doet Trend Micro de volgende aanbevelingen
- Direct patchen is echt cruciaal! Als dit niet mogelijk is, overweeg dan netwerksegmentatie of virtuele patching.
- Pak ransomware aan voor het binnen is gedrongen door de root causes van de infectie te mitigeren via application control software. Gebruik ook threat detection and response-tools om netwerken te scannen op IoC’s.
- Verbied netwerk-shares en zorg dat werknemers een sterke username/wachtwoordcombinatie gebruiken om zo ongeautoriseerde toegang te voorkomen middels credential brute forcing.
- Maak gebruik van IDS of IPS om normaal netwerkgebruik in kaart te brengen en zo beter verdachte activiteiten te kunnen ontdekken.
- Scan ICS endpoints in air-gapped omgevingen met standalone tools.
- Zet een USB malware scanning kiosk op om te checken of verwijderbare drives worden gebruikt voor het uitwisselen van data tussen air-gapped endpoints.
- Pas de principe van ‘least privilege’ toe aan OT netwerk admins en operators.