Aanvallen in de industriële sector nemen toe: een jaaroverzicht van Kaspersky

Aanvallen in de industriële sector nemen toe: een jaaroverzicht van Kaspersky
 In 2022 werd meer dan 40 procent van de operationele technologie (OT) computers getroffen door kwaadaardige objecten, zo blijkt uit het ICS threat landscape report van Kaspersky. In de tweede helft van 2022 werd de industriële sector wereldwijd getroffen door de meeste aanvallen (34,3%). Deze periode werd ook gekenmerkt door een toenemend aantal aanvallen die werden uitgevoerd met behulp van kwaadaardige scripts, phishingpagina’s (JS en HTML) en denylisted bronnen. Aanvallen op de automotive-industrie en de energiesector lieten een ongekende groei zien en waren goed voor 36,9 procent en 34,5 procent van alle industrieën.  

In de tweede helft van 2022 blokkeerden de security-oplossingen van Kaspersky malware van 7.684 verschillende families op industriële automatiseringssystemen, zoals gebouwautomatisering, automotive, olie en gas, energie en engineering. Dit aantal is iets meer (6%) vergeleken met de vorige helft van het jaar en bijna 1,5 keer meer dan in de tweede helft van 2021. Over het geheel genomen is 2022 uiteindelijk het jaar met het hoogste percentage OT-computers dat door malware is getroffen (40,6%).
 
Aantal geblokkeerde malwarefamilies op ICS-computers  

Malwarecategorieën
In termen van malwarecategorieën lieten alleen de twee topklasseringen, kwaadaardige scripts en phishingpagina’s (JS en HTML) en geweigerde internetbronnen, een groei zien. Andere categorieën daalden of bleven hetzelfde.    Kwaadaardige scripts en phishingpagina’s (JS en HTML) worden zowel online als via e-mail verspreid. Een aanzienlijk deel van de geblokkeerde internetbronnen wordt gebruikt om kwaadaardige scripts en phishingpagina’s te verspreiden.   Cybercriminelen gebruiken kwaadaardige scripts voor een breed scala aan taken – van het verzamelen van informatie, het volgen van activiteiten en het omleiden van browserverzoeken naar kwaadaardige webbronnen, tot het downloaden van diverse kwaadaardige programma’s of het laden van malware (spyware of tools voor het illegaal delven van cryptocurrency) in de browser van de gebruiker.
Percentage ICS-computers waar de activiteit van kwaadaardige objecten uit verschillende categorieën werd voorkomen  

Geografisch
Wanneer we kijken naar de geografische regio’s, blijft het Midden-Oosten de regio die het meest wordt getroffen door ransomware-aanvallen. Zij zijn de nummer 3 in de top-regio’s gerangschikt naar het percentage ICS-computers waarop kwaadaardige e-mailbijlagen en phishing-links werden geblokkeerd. Afrika, het Midden-Oosten, Azië en Latijns-Amerika voeren de regionale ranglijst aan met de meeste OT-computers die zijn gecompromitteerd met behulp van verwijderbare apparaten, zoals USB-sticks of externe harde schijven.  

Noord-Europa is de enige regio die een groei liet zien in ransomware-aanvallen en malware die via e-mailclients werd verspreid. Ook in Nederland werden kwaadaardige scripts en phishing pagina’s het vaakst gebruikt (4,3%) als initiële aanvalsvector. In de meeste gevallen werden dergelijke bedreigen afgeleverd via zakelijke e-mail of via ad-hoc internetverbindingen vanuit het IT-netwerk. In het geval van APT-dreigingsactoren werden deze dreigingen gebruikt om interne e-maildiensten en webapplicaties te misbruiken om zich zijwaarts te verplaatsen, de aanval te coördineren en data te verzamelen.   Als dergelijke ‘initiële’ bedreigingen worden gedetecteerd op een hoog percentage hosts in OT-netwerken, betekent dit dat de bestaande securitymaatregelen in het land of bedrijfsleven in het algemeen niet voldoende waren om deze bedreigen te blokkeren voordat zij netwerkhosts bereikten – waar ze uiteindelijk werden gedetecteerd door endpointbescherming.
Percentage ICS-computers waarin kwaadaardige objecten werden geblokkeerd in sommige sectoren  

“Over het geheel genomen valt 2022 op door de abnormale afwezigheid van seizoensgebonden veranderingen. Ons team constateerde een aanhoudend hoog percentage aanvallen op industriële sectoren – zonder een typische daling van de aanvallen tijdens de zomervakanties of de wintervakantieperiode. De toenemende aanvallen in industriële sectoren, die worden uitgevoerd met behulp van social engineering, lijken echter alarmerend. We raden klanten in deze sectoren sterk aan hun bestaande security-aanpak te herzien en te controleren of alle securitysystemen up-to-date zijn en hun personeel goed is opgeleid”, aldus Kirill Kruglov, senior onderzoeker bij Kaspersky ICS CERT.    Lees meer over het ICS-dreigingslandschap in H2 2022 op de website van Kaspersky ICS CERT.