IBM: ‘Maakindustrie meest afgeperste sector’

Vooral bedrijven in de maakindustrie zijn doelwit voor de aanvallen, zo stelt IBM Security op basis van zijn X-Force Threat Intelligence Index. De meest voorkomende ‘aanvallen’ bestaan uit afpersing. Hiervoor wordt ransomware gebruikt. Dan worden vooral bedrijven onder hoge druk tot betaling gedwongen. De maakindustrie was in 2022 de meest afgeperste sector, net als in 2021. Productiebedrijven zijn een aantrekkelijk doelwit, omdat zij vaak in grote problemen komen wanneer er sprake is van operationele stilstand na een aanval. Hierdoor kunnen de criminelen meer druk uitoefenen.

Het aantal ransomware incidenten daalde wel licht in 2022 en experts worden sneller en beter in het detecteren en voorkomen van ransomware. Tegelijkertijd worden criminelen steeds innovatiever. De gemiddelde tijd om een ransomware-aanval te voltooien is gedaald van twee maanden naar minder dan vier dagen. Eén van de nieuwste tactieken is om gestolen data toegankelijker te maken voor zogenaamde downstreamslachtoffers. Door klanten en zakenpartners te betrekken, verhogen de exploitanten de druk op de getroffen organisatie. 

Wannacry

In 2022 werden twee nieuwe OT-specifieke stukjes malware ontdekt: Industroyer2 en INCONTROLLER (ook bekend als PIPEDREAM). Daarnaast was er de ontdekking van vele OT-kwetsbaarheden genaamd OT:ICEFALL. Het landschap van OT-cyberbedreigingen breidt zich dramatisch uit en eigenaren en operators van OT-activa moeten zich terdege bewust zijn van het veranderende landschap.

X-Force keek nader naar OT-specifieke netwerkaanvallen. Netwerkaanvalgegevens tonen zogenoemde brute force-aanvallen: het gebruik van zwakke en verouderde coderingsstandaarden en zwakke of standaardwachtwoorden zijn veelvoorkomende waarschuwingen in de IT- en OT-omgevingen van deze industrieën.

Uit de data bleek dat oude kwetsbaarheden en bedreigingen nog steeds actueel zijn. Een groep kwetsbaarheden die in 2021 door Cisco Talos in de Advantech R-SeeNet-bewakingssoftware werd ontdekt, veroorzaakte in 2022 een kleine meerderheid van waarschuwingen voor het scannen van kwetsbaarheden in OT-industrieën. Door deze kwetsbaarheden kunnen aanvallers willekeurige code of commando’s uitvoeren.

De op een na meest voorkomende kwetsbaarheid dateert echter uit 2016: een filter-bypass-kwetsbaarheid in de Trihedral VTScada-toepassing, CVE-2016-4510, waarmee niet-geverifieerde gebruikers HTTP-verzoeken kunnen verzenden om toegang te krijgen tot bestanden. De risico’s van oudere dreigingen worden verder benadrukt door aanvalstypes, zoals WannaCry en Conficker, die nog steeds een groot risico vormen bedreigingen voor OT.