In het laatste OT/IoT-beveiligingsrapport van Nozomi Network Labs wordt gesproken over factoren zoals de wiper-malware, de IoT-botnetactiviteit en de oorlog tussen Rusland en Oekraïne als bepalende factoren in het bedreigingslandschap van 2022. In het eerste semester van 2022 merkten onderzoekers van Nozomi Networks Labs een verandering in tactiek op van hacktivisten, waarbij ze overstapten van het stelen van gegevens en verdeelde denial-of-service-aanvallen naar het gebruik van destructievere malware in een poging om kritieke infrastructuren te destabiliseren om hun positie in de oorlog te versterken.
“Gedurende de afgelopen zes maanden zijn cyberaanvallen aanzienlijk toegenomen, waardoor meer verstoringen zijn ontstaan in sectoren variërend van transport tot gezondheidszorg”, zegt Roya Gordon, Research Evangelist OT/IoT security bij Nozomi Networks. “Met name het spoorwegsysteem is aangevallen, wat heeft geleid tot maatregelen om spoorwegexploitanten en hun activa te beschermen. Naarmate cyberbedreigingen evolueren en intenser worden, is het belangrijk dat bedrijven begrijpen hoe cybercriminelen te werk gaan in OT/IoT-omgevingen en welke maatregelen nodig zijn om kritieke activa te beschermen tegen bedreigingsactoren”.
Analyse door Nozomi Networks Labs van klantwaarschuwingen over inbraak in de afgelopen zes maanden heeft aangetoond dat de belangrijkste bedreigingen voor toegang tot kritieke infrastructuur omvatten zwakke of plaintext wachtwoorden en zwakke encryptie. DDoS-aanvallen en brute force-aanvallen volgen. Trojaanse paarden waren de meest gedetecteerde malware in bedrijfsnetwerken, terwijl Remote Access Tools (RAT’s) aan de top staan van malware gericht op OT. DDoS-malware leidt de aanvallen op IoT-apparaten.
De kwaadaardige activiteit van IoT-botnets bleef hoog en bleef toenemen in de tweede helft van 2022. Nozomi Networks Labs ontdekte toenemende beveiligingsproblemen naarmate botnets doorgingen met het gebruik van standaard referenties in hun pogingen om IoT-apparaten te benaderen.
Van juli tot december 2022 vond Nozomi Networks de volgende honeypots of lokvogels:
• Aanvallen piekten in juli, oktober en november, met meer dan 5.000 unieke aanvallen in elk van deze maanden.
• De belangrijkste IP-adressen waar vandaan de aanvallen werden gelanceerd, waren geassocieerd met China, de Verenigde Staten, Zuid-Korea en Taiwan.
• De referenties “root” en “Admin” blijven de meest gebruikte referenties voor bedreigingsactoren om toegang te krijgen tot gegevens en hun rechten te verhogen zodra ze binnen het netwerk zijn.
Met betrekking tot kwetsbaarheden blijven fabrieken en de energiesector de meest kwetsbare sectoren, gevolgd door waterbeheerbedrijven, gezondheid en transportsystemen. In de afgelopen zes maanden van 2022:
• CISA lanceerde 218 kwetsbaarheden en blootstellingen (CVE’s) – 61% minder dan in het eerste semester;
• 70% van de fabrikanten werd getroffen – 26% meer dan in de vorige periode;
• getroffen producten stegen ook met 6% ten opzichte van de tweede helft van 2021.