Cybercriminaliteit vormt een bedreiging voor iedere organisatie. Industriële bedrijven zijn hierop geen uitzondering. Zij kunnen dit jaar onder meer een stijgende hoeveelheid spyware, malware die voortdurend wordt aangepakt in de strijd tegen detectie en een kleinere detecteerbare voetafdruk van cyberaanvallen verwachten.
Dit voorspelt cybersecuritybedrijf Kaspersky. Het bedrijf noemt cyberaanvallen op industriële organisaties ‘bijzonder gevaarlijk’ aangezien cybercriminelen zowel data als geld kunnen stelen, evenals het productiesysteem van organisaties kunnen verstoren. Kaspersky waarschuwt voor een groeiende interesse vanuit cybercriminelen voor industriële organisaties. Dit blijkt onder meer uit een toename van de diversiteit van dreigingen waarmee industriële netwerken geconfronteerd worden. Het adequaat beveiligen van industriële netwerken wordt dan ook van steeds groter belang.
Het van origine Russische securitybedrijf voorziet voor dit jaar verschillende ontwikkelingen die relevant zijn voor industriële organisaties. Zo zag het bedrijf afgelopen jaar al een nieuwe trend ontstaan in het criminele ecosysteem. Aanvallers zetten spyware in voor de diefstal van authentificatiegegevens. De hoeveelheid spyware stijgt daarnaast. Deze vorm van malafide software wordt vaak ingezet voor de diefstal van geld.
Ook merken onderzoekers van Kaspersky op dat individuele cyberaanvallen steeds vaker gericht zijn op een zeer klein aantal doelwitten. De aanvallen zijn dus gerichter dan voorheen. Dergelijke aanvallen maken naar verwachting dit jaar een groter deel uit van het bedreigingslandschap. Kaspersky verwacht ook dat deze werkwijze zich uitbreidt naar andere typen bedreigingen.
Zodra malware gedetecteerd is door securitysystemen, kan de dreiging in veel gevallen adequaat worden gemitigeerd. Cybercriminelen spelen hierop in door het zoveel mogelijk bemoeilijken van detectie. Dat betekent in de praktijk dat malware met regelmaat een upgrade krijgt. Kaspersky meldt dat steeds meer cybercriminelen deze strategie toepassen. Zij zetten de malware op het hoogtepunt van zijn effectiviteit in om door de verdediging van security-oplossingen heen te breken. Zodra de huidige malware eenvoudig detecteerbaar wordt, stappen zij over op een nieuwe versie van de malware.
Kaspersky verwacht dat deze trend in combinatie met het dalende aantal slachtoffers per individuele cyberaanval gaat leiden tot een toename van de diversiteit aan malware. Dit bemoeilijkt detectie en brengt dan ook uitdagingen met zich mee voor ontwikkelaars van security-oplossingen.
Een andere maatregel die cybercriminelen volgens Kaspersky nemen tegen detectie is het verkleinen van de detecteerbare voetafdruk. Deze voetafdruk bestaat uit signalen waaraan een op handen of gaande zijnde cyberaanval herkenbaar is. Cybercriminelen verkleinen de voetafdruk met name door een minimaal gebruik van kwaadaardige infrastructuur. Denk hierbij aan servers die vaker voor aanvallen zijn ingezet.
Kaspersky wijst erop dat cybercriminelen er in sommige gevallen ook het gebruik onvertrouwde en verdachte infrastructuur ontwijken. Zij vertrouwen dan op vertrouwde infrastructuur. Als voorbeeld noemt het securitybedrijf phishingmails. Aanvallers verspreiden deze steeds vaker vanaf een gecompromitteerd bedrijfsaccount. Ook besteden aanvallers meer tijd aan het goed opstellen van phishingmails in de strijd tegen geautomatiseerde detectie.
Het cybersecuritybedrijf gaat ook specifiek in op Advanced Persistent Threats (APT’s). APT’s kennen een strategische, systematische aanpak waarmee aanvallers zo lang mogelijk toegang willen behouden tot een doelwit. Dit in tegenstelling tot veel cybercriminaliteit. Deze is bijvoorbeeld gericht op het verkrijgen van monetaire winst.
Bij APT-incidenten proberen aanvallers steeds vaker via hun slachtoffer nieuwe doelwitten te bereiken. Denk hierbij aan partners, het moederbedrijf of overheidsinstanties. In sommige gevallen richten aanvallers zich hierbij op data van deze partijen die het slachtoffer in handen heeft. In andere gevallen willen cybercriminelen daadwerkelijk het netwerk van deze derde partijen binnendringen.
Over APT’s meldt Kaspersky daarnaast dat steeds meer focus ligt op ‘Persistent’, in plaats van ‘Advanced’. Dit betekent in de praktijk dat aanvallers hun toolkit steeds vaker upgraden of uitbreiden. Zo willen zij toegang tot hun slachtoffers behouden. Voorheen vertrouwden aanvallers vooral op de vasthoudendheid en nauwkeurigheid van de beheerders van hun toolkits. Zij maakten hierbij vaak gebruik van kostbare en complexe frameworks om detectie zo lang mogelijk te voorkomen. Kaspersky verwacht dat aanvallers vaker van deze aanpak afstappen en kiezen voor het upgraden van hun toolkit.
Populaire doelwitten voor APT’s zijn volgens Kaspersky:
Kaspersky verwacht dat cybercriminelen zich blijven richten op ieder willekeurig doelwit dat zij kunnen raken. In veel gevallen zetten aanvallers hierbij bekende methodes in voor het monetariseren van hun aanvallen. Denk hierbij aan:
Kaspersky wijst erop dat traditionele cybercriminaliteit in de meeste gevallen een grotere financiële schade veroorzaakt van APT’s. Zo is in 2021 tientallen miljoenen dollars betaald aan cybercriminelen die ransomware inzetten. Kaspersky kent slechts een geval waarin een APT tot significante financiële schade leidden. In dit geval gingen de aanvallers tot afpersing over.
Wel merkt het securitybedrijf op dat APT’s in sommige gevallen een vertraagd effect kennen. Het feit dat APT’s vorig jaar niet tot grote financiële schade leidden, is dan ook geen garantie dat dat dit jaar opnieuw het geval is.
Ook waarschuwt Kaspersky voor cyberhooligans en hacktivisten. Aanvallen van deze partijen haalden in 2021 meerdere malen het wereldnieuws. Deze aanvallen demonstreren volgens Kaspersky dat vitale industriële infrastructuur vaak slecht beschermd is.
Meer informatie en alle voorspellingen van Kaspersky voor industriële bedrijven is hier beschikbaar.
Auteur: Wouter Hoeffnagel