In 2022 werd meer dan 40 procent van de operationele technologie (OT) computers getroffen door kwaadaardige objecten. Dat zegt beveiligingsbedrijf Kaspersky in zijn jaarrapport.
In de tweede helft van 2022 werd de industriële sector wereldwijd getroffen door de meeste aanvallen (34,3%). Deze periode werd ook gekenmerkt door een toenemend aantal aanvallen die werden uitgevoerd met behulp van kwaadaardige scripts, phishingpagina’s (JS en HTML) en denylisted bronnen. Aanvallen op de automotive-industrie en de energiesector lieten een ongekende groei zien en waren goed voor 36,9 procent en 34,5 procent van alle industrieën.
In de tweede helft van 2022 kwam malware van ruim 7500 verschillende families voorbij op industriële automatiseringssystemen, zoals gebouwautomatisering, automotive, olie en gas, energie en engineering. Dit is bijna 1,5 keer meer dan in de tweede helft van het jaar ervoor. Over het geheel genomen is 2022 uiteindelijk het jaar met het hoogste percentage OT-computers dat door malware is getroffen (40,6%), constateert Kaspersky.
Malwarecategorieën
In termen van malwarecategorieën lieten alleen de twee topklasseringen, kwaadaardige scripts en phishingpagina’s (JS en HTML) en geweigerde internetbronnen, een groei zien. Andere categorieën daalden of bleven hetzelfde. Kwaadaardige scripts en phishingpagina’s (JS en HTML) worden zowel online als via e-mail verspreid. Een aanzienlijk deel van de geblokkeerde internetbronnen wordt gebruikt om kwaadaardige scripts en phishingpagina’s te verspreiden.
Cybercriminelen gebruiken kwaadaardige scripts voor een breed scala aan taken – van het verzamelen van informatie, het volgen van activiteiten en het omleiden van browserverzoeken naar kwaadaardige webbronnen, tot het downloaden van diverse kwaadaardige programma’s of het laden van malware (spyware of tools voor het illegaal delven van cryptocurrency) in de browser van de gebruiker.
Geografisch
Het Midden-Oosten is de regio die het meest wordt getroffen door ransomware-aanvallen. Zij zijn de nummer 3 in de top-regio’s gerangschikt naar het percentage ICS-computers waarop kwaadaardige e-mailbijlagen en phishing-links werden geblokkeerd. Afrika, het Midden-Oosten, Azië en Latijns-Amerika voeren de regionale ranglijst aan met de meeste OT-computers die zijn gecompromitteerd met behulp van verwijderbare apparaten, zoals USB-sticks of externe harde schijven.
Noord-Europa is de enige regio die een groei liet zien in ransomware-aanvallen en malware die via e-mailclients werd verspreid. Ook in Nederland werden kwaadaardige scripts en phishing pagina’s het vaakst gebruikt (4,3%) als initiële aanvalsvector. In de meeste gevallen werden dergelijke bedreigen afgeleverd via zakelijke e-mail of via ad-hoc internetverbindingen vanuit het IT-netwerk. In het geval van APT-dreigingsactoren werden deze dreigingen gebruikt om interne e-maildiensten en webapplicaties te misbruiken om zich zijwaarts te verplaatsen, de aanval te coördineren en data te verzamelen.
Als dergelijke ‘initiële’ bedreigingen worden gedetecteerd op een hoog percentage hosts in OT-netwerken, betekent dit dat de bestaande securitymaatregelen in het land of bedrijfsleven in het algemeen niet voldoende waren om deze bedreigen te blokkeren voordat zij netwerkhosts bereikten – waar ze uiteindelijk werden gedetecteerd door endpointbescherming.
