Een derde van aanvallen op ICS-computer was bij productiebedrijven

2 oktober 2017

Gedurende de eerste helft van het jaar zijn produc­tie­be­drijven het meest vatbaar gebleken voor aanvallen. ICS-computers binnen derge­lijke bedrijven maken ongeveer één derde uit van alle aange­vallen systemen. De piek in de aanval­fre­quentie is in maart gere­gi­streerd, waarna het aantal aange­vallen computers van april tot juni gelei­de­lijk is afgenomen.

Dit blijkt uit het rapport “Threat landscape for indu­strial auto­ma­tion systems in H1 2017” van Kaspersky Lab. In de eerste zes maanden van het jaar hebben producten van Kaspersky Lab aanvals­po­gingen geblok­keerd op 37,6 procent van de tien­dui­zenden bevei­ligde ICS-computers over de hele wereld. Dit is 1,6 procent­punt minder dan in de tweede helft van 2016, dus nagenoeg gelijk. De meeste van deze pogingen hebben plaats­ge­vonden binnen bedrijven waar mate­ri­alen, appa­ra­tuur en goederen worden gepro­du­ceerd. Andere vaak getroffen sectoren zijn engi­nee­ring, onderwijs en de voedings­in­du­strie. Bijna 5 procent van de aanvallen betreft ICS-computers van energiebedrijven.

Aangevallen ICS-computers per bedrijfssector, eerste helft 2017

Aange­vallen ICS-computers per bedrijfs­sector, eerste helft 2017

Meeste aanvallen in Vietnam, Algerije en Marokko

De top‑3 van landen met aange­vallen indu­striële computers is onge­wij­zigd: Vietnam (71 procent), Algerije (67,1 procent) en Marokko (65,4 procent). De onder­zoe­kers van Kaspersky Lab hebben echter een toename gecon­sta­teerd van aanvallen in China (57,1 procent), waarmee dit land de vijfde plaats inneemt.

Ook hebben experts ontdekt wat de belang­rijkste drei­gings­bron op internet is: op 20,4 procent van de ICS-computers zijn pogingen geblok­keerd om malware te down­lo­aden of toegang te krijgen tot kwaad­aar­dige sites, waaronder phishing-sites. De hoge score van dit infec­ti­e­type is terug te voeren op de onbe­perkte toegang tot en aanslui­ting van indu­striële netwerken op internet, wat een bedrei­ging vormt voor de gehele indu­striële infrastructuur.

Kaspersky Lab heeft in de eerste zes maanden van 2017 18 duizend verschil­lende modi­fi­ca­ties van malware uit meer dan 2500 families ontdekt in indu­striële automatiseringssystemen.

Ransomware

In de eerste helft van het jaar is de wereld gecon­fron­teerd met een ransom­ware-epidemie die ook indu­striële onder­ne­mingen heeft getroffen. Onderzoek van Kaspersky Lab ICS CERT laat zien dat het aantal aanvallen op unieke ICS-computers door encryptie-Trojans is verdrie­vou­digd. De door de experts gecon­sta­teerde encryptie-ransom­ware is afkomstig uit 33 verschil­lende families. Het merendeel van de encryptie-Trojans is verspreid via spam-e-mails, vermomd als zakelijke commu­ni­catie, met kwaad­aar­dige bijlagen of links naar malware-downloaders.

Enkele van de belang­rijkste ransom­ware-statis­tieken in het rapport over het eerste halfjaar van 2017 zijn:

  • 0,5 procent van de computers in de indu­striële infra­struc­tuur van orga­ni­sa­ties is minstens één keer door encryptie-ransom­ware aangevallen.
  • ICS-computers in 63 landen over de hele wereld zijn betrokken geweest bij talrijke aanvallen door encryptie-ransom­ware, met WannaCry en ExPetr als meest beruchte campagnes.
  • De WannaCry-epidemie is, met aanvallen op 13,4 procent van alle computers in de indu­striële infra­struc­tuur, het meest ‘succesvol’ van de encryptie-ransom­ware-families. De meest getroffen orga­ni­sa­ties zijn gezond­heids- en overheidsinstellingen.
  • Een andere beruchte encryptie-ransom­ware-campagne in de eerste helft van het jaar is ExPetr, verant­woor­de­lijk voor de aanval op minstens 50 procent van de bedrijven binnen de productie‑, olie- en gasindustrie.
  • In de top-10 van encryptie-Trojan-families staan verder ransom­ware-families als Locky en Cerber, die sinds 2016 actief zijn en tot nu toe van alle cyber­cri­mi­nelen de hoogste winst hebben gerealiseerd.

Zorgwekkend

“Het is zeer zorg­wek­kend dat ICS-computers van produc­tie­be­drijven goed zijn voor ongeveer een derde van alle aanvallen”, zegt Martijn van Lom, General Manager, Kaspersky Lab Benelux. “De kans op cyber­aan­vallen is groot, en derge­lijke aanvallen kunnen de indu­striële auto­ma­ti­se­rings­sys­temen van een onder­ne­ming schade toebrengen en ernstige gevolgen hebben voor het gehele bedrijfs­leven. Gezien het feit dat we in de eerste zes maanden van het jaar actieve distri­butie van encryptie-malware waarnemen, en de verwach­ting dat deze trend doorzet, wordt de waar­schijn­lijk­heid van een destruc­tieve aanval alleen maar groter.”

Om de ICS-omgeving te beschermen tegen mogelijke cyber­aan­vallen, beveelt Kaspersky Lab ICS CERT het volgende aan:

  • Inven­ta­ri­seer actieve netwerk­dien­sten, met name diensten die op afstand toegang bieden tot bestandssysteemobjecten.
  • Contro­leer de toegangs­iso­latie tot ICS-compo­nenten, de netwerk­ac­ti­vi­teit op het bedrijfs­net­werk en begren­zingen, beleid en prak­tijken met betrek­king tot het gebruik van verwij­der­bare media en draagbare apparaten.
  • Contro­leer in ieder geval de bevei­li­ging van toegang op afstand tot het indu­striële netwerk, en overweeg vermin­de­ring of zelfs elimi­natie van het gebruik van admi­ni­stra­tie­tools op afstand.
  • Houd endpoint-bevei­li­gings­op­los­singen up-to-date.
  • Gebruik geavan­ceerde bevei­li­gings­me­thoden: imple­men­teer tools die het netwerk­ver­keer bewaken en cyber­aan­vallen op indu­striële netwerken detecteren.

Lees een samen­vat­ting van het rapport van Kaspersky Lab ICS CERT over het eerste halfjaar van 2017 op Secu​re​list​.com. Het volledige rapport is beschik­baar via de website van Kaspersky Lab ICS CERT.

Wouter Hoeffnagel

Freelance IT-journalist en tekstschrijver | IT en industrie

cybersecurity ICS IT security Kaspersky Lab ransomware

Pin It on Pinterest

Share This