Trend Micro varoittaa teollisiin ohjausjärjestelmiin kohdistetuista kiristysohjelmahyökkäyksistä

Yhdysvaltalaisyritykset ovat kyberrikollisten ykköskohde

Trend Micron uusi tutkimus varoittaa tuotantoseisokkeja aiheuttavasta ja arkaluontoisiin tietoihin kohdistuvien kiristyshaittaohjelmahyökkäysten kasvavasta uhasta.

Lue koko raportti täältä: 2020 Report on Threats Affecting ICS Endpoint:
https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/2020-report-ics-endpoints-as-starting-points-for-threats.

"Teollisten ohjausjärjestelmien suojaaminen on erittäin haastavaa, sillä parhaimpiinkin suojausjärjestelmiin jää aina aukkoja, joita päättäväiset hyökkääjät hyödyntävät aina vain tarmokkaammin", kertoo Kalle Salminen, Trend Micron kyberturva-asiantuntija. "Kiristyshaittaohjelmahyökkäykset rinnastetaan maailmalla jo terrorismiin, joten toivomme, että uusi tutkimuksemme auttaa teollisia toimijoita priorisoimaan ja kohdentamaan omat turvatoimensa aiempaa tehokkaammin."

Teolliset ohjausjärjestelmät ovat tärkeä osa voima-, tuotanto- ja muita laitoksia, joissa niitä käytetään teollisten prosessien seuraamiseen ja hallintaan IT/OT-verkoissa.

Kiristyshaittaohjelma saattaa kaataa laitosten järjestelmät ja keskeyttää niiden toiminnan pitkäksikin aikaa, usein vähintään moniksi päiviksi. Samalla järjestelmiin tallennetut suunnitelmat, ohjelmat ja luottamukselliset asiakirjat ovat jo saattaneet vuotaa pimeän verkon kauppapaikoille tai kiristäjien käsiin.

Trend Micron tutkimuksessa todetaan, että Ryuk- (20 %), Nefilim- (14,6 %), Sodinokibi- (13,5 %) ja LockBit-ohjelmien (10,4 %) eri versiot edustivat yli puolta teollisiin ohjausjärjestelmiin iskeneistä kiristyshaittaohjelmatartunnoista vuonna 2020.

Raportissa kerrotaan edelleen:

• Hyökkääjät tartuttavat ohjausjärjestelmien päätelaitteisiin kryptovaluuttaa louhivia haittaohjelmia, jos nämä käyttävät vanhentuneita tai päivittämättömiä käyttöjärjestelmiä, jotka ovat edelleen alttiita EternalBlue-hyökkäysohjelmistolle.
• Conficker-haittaohjelman eri muunnokset leviävät myös uudempia käyttöjärjestelmiä käyttävissä päätelaitteissa murtautumalla väsytyshyökkäyksellä järjestelmänvalvojan jaettuihin resursseihin.
• Vanhemmat haittaohjelmat, kuten Autorun, Gamarue ja Palevo, leviävät nekin edelleen IT/OT-verkoissa siirrettävien asemien, kuten USB-muistitikkujen ja -kiintolevyjen, kautta.

Tutkimus kehottaa IT-tietoturva- ja OT-tiimejä tekemään tiiviimpää yhteistyötä, jotta tärkeimmät järjestelmät ja riippuvuudet, kuten käyttöjärjestelmien yhteensopivuus- ja ajantasaisuusvaatimukset, voidaan havaita ajoissa ja siten kehittää tehokkaampia turvallisuusstrategioita.

Trend Micro suosittelee seuraavia toimintatapoja:

• Asentakaa uudet päivitykset heti. Jos tämä ei ole mahdollista, harkitkaa verkon segmentointia tai ”virtual patching” -teknologian hankkimista toimittajilta kuten Trend Microlta
• Pysäytä ensimmäistä hyökkäystä seuraava kiristysohjelmien aalto puuttumalla heti tunkeutumisen mahdollistaneeseen ongelmaan hyödyntämällä Application Control -toiminnallisuutta sekä uhkien havaitsemis- ja torjuntatyökaluja hyökkäyksen muiden indikaattoreiden löytämiseksi
• Rajoita verkkojakoja ja ota käyttöön vahvat käyttäjänimi / salasana -yhdistelmät, jotta tunnusten väsytyshyökkäykseen pohjautuvat tunkeutumiset voidaan estää.
• Käytä tunkeutumisen havaitsemis- tai estämisjärjestelmiä luodaksesi vertailukelpoisen näytteen verkon normaalitilasta, johon vertaamalla epäilyttävä toiminta havaitaan helpommin ja nopeammin.
• Skannaa suljetuissa ympäristöissä olevien ohjausjärjestelmien päätelaitteet erillisillä työkaluilla.
• Perusta USB-skannauspisteitä, joissa kaikki siirrettävät asemat tutkitaan haittaohjelmien varalta, ennen kuin niillä siirretään tietoja toisistaan eristettyjen päätelaitteiden välillä.
• Käytä least privilege -periaatetta OT-verkon järjestelmänvalvojille ja operaattoreille.