Trend Micro: ‘Pas op voor ransomware die zich richt op industriële systemen’

Recent onderzoek van Trend Micro laat zien dat Ryuk (20%), Nefilim (14,6%), Sodinokibi (13,5%) en LockBit (10,4%) garant staan voor meer dan de helft van alle ICS ransomware-besmettingen in 2020. Volgens het rapport  infecteren cybercriminelen ICS-endpoints ook relatief vaak om cryptocurrencies te minen. Ze gebruiken hiervoor ongepatchte besturingssystemen die nog kwetsbaar zijn voor EternalBlue.

Om de security van deze systemen, die ook vaak worden ingezet in de zogenaamde kritieke infrastructuur in Nederland, op een hoger plan te brengen, doet het cybersecuritybedrijf de volgende aanbevelingen:

• Direct patchen is echt cruciaal! Als dit niet mogelijk is, overweeg dan netwerksegmentatie of virtuele patching.
• Pak ransomware aan voor het binnen is gedrongen door de root causes van de infectie te mitigeren via application control software. Gebruik ook threat detection and response-tools om netwerken te scannen op IoC’s.
• Verbied netwerk-shares en zorg dat werknemers een sterke username/wachtwoordcombinatie gebruiken om zo ongeautoriseerde toegang te voorkomen middels credential brute forcing.
• Maak gebruik van IDS of IPS om normaal netwerkgebruik in kaart te brengen en zo beter verdachte activiteiten te kunnen ontdekken.
• Scan ICS endpoints in air-gapped omgevingen met standalone tools.
• Zet een USB malware scanning kiosk op om te checken of verwijderbare drives worden gebruikt voor het uitwisselen van data tussen air-gapped endpoints.
• Pas de principe van ‘least privilege’ toe aan OT netwerk admins en operators.