Trend Micro har idag publicerat en ny rapport som pekar på de växande riskerna för utpressningsattacker mot uppkopplade fabriker.
Det handlar om potentiellt ekonomiskt samt mänskligt ödesdigra cyberangrepp som kan resultera i omfattande produktionsstopp, personskada eller att företagskänsliga data hamnar i fel händer.
– Industriella styrsystem är ytterst svåra att skydda, och har därför ofta luckor i som gör att cyberkriminella enkelt kan få tillgång till känsliga system eller information, säger Jean Diarbakerli, säkerhetsexpert på Trend Micro. I och med att myndigheter världen över nu ser på utpressningsattacker med samma tyngd som terrorism, så hoppas vi att vår senaste rapport kommer hjälpa företag med uppkopplade fabriker att förstå vikten av att se över sina säkerhetsrutiner och prioritera de insatser som behövs mest.
Industriella kontrollsystem (ICS) är en mycket viktig del av infrastrukturen på anläggningar och fabriker där man måste övervaka och kontrollera industriprocesser via de nätverk anläggningarna är uppkopplade mot. Om kidnappningsprogram tar sig in i dessa system riskerar verksamheten att stå still i dagar och samt att risken ökar kraftigt att ett företags immateriella tillgångar når ut på darknet.
Trend Micros rapport visar att varianterna Ryuk (20%), Nefilim (14,6%), Sodinokibi (13,5%) och LockBit (10,4%) stod för mer än hälften av alla ICS-utpressningsattacker under 2020.
Rapporten visar också att:
- Cyberkriminella infekterar ICS-enheter för att generera kryptovaluta via de opatchade operativsystem som fortfarande är känsliga för hackarnätverket EternalBlue.
- Varianter av Conficker sprids via ICS-enheter som körs på nyare operativsystem genom så kallade brute force-attacker där man kommer åt adminrättigheter.
- Äldre skadlig kod, såsom Autorun, Gamarue och Palevo sprids fortfarande på IT/OT nätverk via portabla lagringsenheter.
Rapporten visar också på vikten av ett nära samarbete mellan IT-säkerhetsavdelningar och de avdelningar som arbetar med driftsystem och DevOps, för att kunna identifiera de viktigaste systemen som man är som mest beroende av. Detta för att ta fram effektiva säkerhetsstrategier som förhindrar nedtid så verksamheten snabbt kan börja rulla igen.
Trend Micro ger följande rekommendationer
- Det är viktigt att snabbt kunna spåra och säkra opatchade eller på andra sätt sårbara enheter. Om detta inte är möjligt bör man överväga nätverkssegmentering eller virtuell patchning från leverantörer som Trend Micro.
- Begränsa nätverksdelning och säkerställ att användare har starka lösenord och inloggningsuppgifter.
- Hantera de kidnappningsprogram som redan försökt sig på en utpressningsattack genom att ta bort de kärnproblem som orsakat attacken, med hjälp av mjukvara som kontrollerar användning av applikationer på samtliga enheter, samt verktyg för upptäckt av hot och respons då man misstänker att en utpressningsattack är på intåg. Detta bör dessutom åtföljas av juridiska åtgärder för att förhindra att det händer igen.
- Se till att er verksamhet har scanningsverktyg som kontrollerar att mobila lagringsenheter såsom USB-minnen och portabla hårddiskar inte infekterats av skadlig kod.
- Använd intrångsdetekteringssystem för övervakning och hantering av eventuellt misstänksamt beteende.
- Skanna ICS-enheter i isolerade miljöer som saknar nätverksåtkomst.
- Se till att alltid ge lägst behörighet av verksamhetskritisk information till den personal som administrerar verksamhetens IT-drift och ekonomifunktioner.