Maakindustrie vaakst getroffen door ransomware

De maakindustrie is een populair doelwit voor cybercriminelen. Partijen in de sector zijn het vaakst doelwit van cybercriminaliteit van alle sectoren. Het gaat daarbij om diverse vormen van cybercriminaliteit.

Dit blijkt uit het onderzoek IBM X-Force Threat Intelligence index, op basis van data uit 2021. De maakindustrie is een geliefd doelwit van cybercriminelen. Van alle aanvallen die IBM X-Force voorkwam was maar liefst 23% gericht op maakbedrijven. Hiermee is een verschuiving zichtbaar; vorig jaar stonden juist financiële organisaties op de eerste positie.

Opkomst van SCADA MODBUS en Internet of Things

De stijging is volgens IBM onder meer toe te schrijven aan de groeiende omarming van het communicatieprotocol SCADA MODBUS en Internet of Things (IoT)-apparaten. Zo blijken cybercriminelen veel vaker actief te zoeken naar kwetsbare SCADA MODBUS- en IoT-apparaten die verbonden zijn met het internet. Het aantal zoekopdrachten hierop zou maar liefst 22 keer hoger zijn dan in de vorige editie van het rapport.

Uit het onderzoek van IBM op basis van data uit 2021 lijkt dat 27% van de aanvallen op bedrijven in de maakindustrie gericht waren op afpersing. Ransomware is hiervan een bekend voorbeeld, maar ook andere vormen van cybercriminaliteit kunnen hiervoor worden ingevoerd. Denk daarbij aan de genoemde DDoS-aanvallen.

Opvallend is ook dat Europese bedrijven een geliefd doelwit zijn van cybercriminelen. Zo blijkt 44% van de onderzochte aanvallen in het onderzoek van IBM gericht op Europese doelen.

‘Aanvallers buiten zwakke plekken uit’

“Indien aanvallers een zwakke plek zien, buiten zij deze uit”, meldt IBM in het rapport. Dat is ook bij de maakindustrie het geval, stelt het Amerikaanse bedrijf. Het verwijst hiermee naar de lage tolerantie voor downtime in de maakindustrie, waarin 24/7 processen centraal staan. Cybercriminelen spelen hierop in door het verstoren van deze continue bedrijfsvoering, waarbij forse financiële schade kan ontstaan.

CEO-fraude

Dit doen aanvallers op verschillende manieren. Denk daarbij aan CEO-fraude, een vorm van cybercriminaliteit waarbij aanvallers zich voordoen als een hooggeplaatste manager van het bedrijf. Zij benaderen vanuit deze positie een werknemer, bijvoorbeeld van de financiële afdeling. De zogenaamde manager stelt bijvoorbeeld een grote deal te hebben gesloten, maar hiervoor op korte termijn een groot geldbedrag nodig te hebben. De medewerker krijgt het verzoek dit bedrag beschikbaar te maken. Doordat een werknemer door een topmanager van zijn of haar bedrijf benadert lijkt te worden, is de kans op succes relatief groot.

Denk echter ook aan Distributed Denial of Service (DDoS). Bij deze vorm van cybercriminaliteit overspoelen aanvallers een server van een bedrijf met malafide verzoeken. De server raakt overbelast en kan legitieme verzoeken van gebruikers niet langer verwerken. De server en de applicatie en/of website die hierop draait zijn hierdoor onbereikbaar. Zo kan bijvoorbeeld een website, webshop of bedrijfsapplicatie worden platgelegd.

Ransomware blijft slachtoffers maken

Een derde voorbeeld is ransomware. Dit is een vorm van malware waarmee aanvallers systemen en data versleutelen, en zo in gijzeling nemen. In veel gevallen eisen aanvallers vervolgens losgeld van het slachtoffer in ruil voor de decryptiesleutel. Het advies luidt over het algemeen nooit te betalen. Zo is er geen garantie dat de aanvallers na betaling de decryptiesleutel daadwerkelijk overhandigen. Ook kan het betalen van losgeld cybercriminelen stimuleren tot het uitvoeren van meer ransomware-aanvallen. Steeds vaker lekken aanvaller ook data van slachtoffers, met als doel het verder opvoeren van de druk.

Voor het tweede jaar op rij is phishing een belangrijke methode voor cybercriminelen voor het verkrijgen van toegang tot doelwitten. Dit is een vorm van cybercriminaliteit waarbij aanvallers slachtoffers proberen te overtuigen gegevens te overhandigen. Denk daarbij aan inloggegevens. Zij doen zich hiervoor bijvoorbeeld voor als een helpdesk of collega. In 41% van alle onderzochte security-incidenten speelde phishing een rol.

In meer dan de helft van de gevallen ging het daarbij om spear phishing. Dit is een vorm van phishing waarbij aanvallers hun phishingpoging op maat ontwerpen voor hun doelwit. Zij haken zo bijvoorbeeld aan op interesses of het vakgebied van een slachtoffer. Doordat de phishingpoging goed aansluit op het doelwit, is de kans dat de aanval succes heeft groter.

Naast phishing zijn ook applicaties die via internet toegankelijk zijn regelmatig doelwit. 26% van de aanvallen was gericht op dergelijke applicaties. in 16% van de gevallen maakten aanvallers gebruikt van valide accounts. Het gaat daarbij bijvoorbeeld om accounts waarvan aanvallers inloggegevens zijn buitgemaakt.

REvil

Diverse cybercrimegroeperingen zijn actief, waarvan IBM Security REvil als voorbeeld noemt. Deze aanvalsgroep is naar verluid inmiddels niet meer actief na een actie van de Russische inlichtingendienst in januari 2022. IBM Security houdt de groep verantwoordelijk voor 40% van alle uitgevoerde ransomware-aanvallen in 2021.

De groep voerde naar schatting zo’n drie jaar lang aanvallen met ransomware uit. Daarmee is de groep opvallend lang actief geweest. Volgens IBM Security verdwijnt de gemiddeld ransomwaregroepering ongeveer zeventien maanden na oprichting.

Zero-trust

Een effectieve maatregel die IBM X-Force aandraagt is zero-trust. Dit betekent in de praktijk dat je niets vertrouwt en alles controleert. Het principe is in 2010 door John Kindervag ontwikkeld. Waar bedrijven voorheen het interne netwerk als veilig bestempelden, bestaat een ‘veilig intern netwerk’ bij zero-trust niet. Dat betekent in de praktijk dat je continu de identiteit van apparaten en gebruikers verifieert.

Ook speelt netwerksegmentatie een belangrijke rol. Dit betekent in de praktijk dat je het netwerk opdeelt in kleine segmenten. Dringt een aanvaller een segment van je netwerk binnen? Dan zorgt netwerksegmentatie ervoor dat een aanvaller niet vrij over je netwerk kan bewegen. Dit kan helpen bij het inperken van de schade.

Incident response-plan

Daarnaast adviseert IBM X-Force het opstellen van een incident response-plan. In een dergelijk plan leg je exact vast hoe je te werk gaat bij een security-incident. Wie moet je hierover bijvoorbeeld informeren? Hoe bewaak je de continuïteit van de bedrijfsvoering? En welke stappen zet je om de aanval zo snel mogelijk te mitigeren?

Denk echter ook aan security awareness-trainingen. Hiermee vergroot je het bewustzijn van werknemers over securitydreigingen en cybercriminaliteit. Personeel leert hierbij onder meer het herkennen van phishing-aanvallen. Denk echter ook aan de impact van hun eigen gedrag op de veiligheid van hun organisatie.

Meer informatie over het onderzoek is hier beschikbaar.

Auteur: Wouter Hoeffnagel
Foto: pixelcreatures via Pixabay