In februari 2020 meldde het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) dat ransomware gevolgen had voor een Amerikaanse pijpleidingbeheerder. Bij een van de aardgascompressiefaciliteiten van een verder niet bekend gemaakte exploitant werden zowel de IT- als de ICS-activa getroffen door malware en dit resulteerde in een ‘loss of view’ op het proces. Ik interviewde onze cybersecurity specialisten over deze cyberaanval en hoe u dit met uw plant kunt voorkomen:
Wat was het resultaat van deze cyberaanval?
De aanval maakte gebruik van commodity ransomware die alleen op Microsoft Windows gebaseerde systemen zoals HMI’s en Historians trof. Controllers, PLC’s of andere level 1-apparatuur werden niet getroffen. Er werd ook gemeld dat de aanvaller verder geen enkele controle had over de faciliteit. Dus zelfs wanneer de besturingslaag niet werd beïnvloed, resulteerde de uitgeschakelde HMI wel in een ‘loss of view’. De operator startte als gevolg hiervan bewust een gecontroleerde uitschakeling van de faciliteit. Vanwege de afhankelijkheid van de transmissie van de pijpleiding resulteerde dit in een productiestop van de gehele pijpleiding gedurende twee dagen.
Werd zowel het IT- als het OT-netwerk geïnfecteerd?
Na analyse door cybersecurity specialisten bleek dat dit incident niet specifiek gericht was op het ICS-systeem. Desalniettemin heeft het een impact gehad op de compressiefaciliteit. De eerste besmetting vond plaats via het IT-netwerk en door een zwakke scheiding tussen het IT- en OT-netwerk had de ransomware ook gevolgen voor de op Windows gebaseerde ICS-systemen.
Dit risico geldt voor veel ICS-netwerken, aangezien de meeste systemen op Windows gebaseerde systemen verbindingen hebben met het zakelijke IT-netwerk. Ook wanneer aanvallers zich richten op het IT-netwerk van een bedrijf kan het aangesloten OT-netwerk worden aangetast als nevenschade.
Vertel eens over deze schadelijke ransomware en het losgeld dat betaald is?
De malware werd geïdentificeerd als de ‘Ryuk’ ransomware, momenteel een van de meest schadelijke ransomware. Met deze ransomware ontvingen de hackers inmiddels in totaal meer dan 3,5 miljoen dollar aan losgeld, waardoor het helaas een lucratieve zaak is. Maar het bedrag van de operationele schade is natuurlijk veel groter. De malware is zo ontworpen om zich te richten op bedrijfsomgevingen als geheel, niet op individuele systemen. Daarvoor moet het handmatig geïnstalleerd en bediend worden door de hackers.
Hoe zijn de hackers te werk gegaan?
De initiële aanval was een phishing-mail die een kwaadaardige link bevatte. Van daaruit gebruiken de aanvallers verschillende tools zoals PowerShell, Empire en PSExec voor interne verkenning, het verkrijgen van accountrechten en de distributie van de Ryuk-malware op het netwerk. Remote Desktop Protocol (RDP) wordt gebruikt om verder in het netwerk te komen en uiteindelijk toegang te krijgen tot een domeincontroller. Van daaruit worden batch scripts uitgevoerd om te draaien op alle samengevoegde domeinsystemen die services (zoals antivirus) beëindigen, back-ups verwijderen en uiteindelijk de ransomware encryptie in gang zetten.
Hoe bescherm je je plant tegen dit soort cybersecurity attacks?
Dit zijn de top 6 aanbevelingen van onze cybersecurity specialisten:
1. Houd medewerkers getraind en gefocust op het herkennen van phishing-e-mails; vraag jezelf af of het huidige beleid, zoals een jaarlijkse videotraining van een half uur, voldoende is.
2. Een sterke scheiding tussen IT en OT-netwerken is van cruciaal belang om het risico op compromissen in het IT-netwerk te verminderen, ook als het gaat om de OT-netwerken;
[list][item icon=”fa-check” ]Houd Windows-domeinen gescheiden en configureer extreem strenge firewalls tussen beide netwerken.[/item][/list]
[list][item icon=”fa-check” ]Implementeer een verbeterde IT/OT-netwerkbewaking.[/item][/list]
3. Aangezien dit type malware niet automatisch wordt geïnstalleerd en gedistribueerd, zal het de hackers enige tijd kosten om zich voor te bereiden op het netwerk. Verschillende stappen zoals eerder beschreven hadden kunnen worden gedetecteerd door monitoring software.
4. Snelle reactie op incidenten had kunnen voorkomen dat de aanval daadwerkelijk schade zou aanrichten. Een IT/OT Security Operation Centre (SOC) zou een goed voorbeeld zijn.
5. Maak – naast back-ups – ook een calamiteitenherstelplan voor het geval dat elk systeem op hetzelfde moment niet meer beschikbaar is. Test en train deze plannen in simulaties of table top-oefeningen.
6. Houd antivirusprogramma’s up-to-date en houd de patchniveaus van besturingssystemen en alle andere toepassingen in stand.
Meer informatie?
Neem contact op met de cybersecurity specialisten Mark Hellinghuizer en Mirsad Murtic van Yokogawa via IndustrialThreatAnalysis@nl.yokogawa.com en meld u aan voor onze cybersecurity nieuwsbrief om te leren van cyberdreigingen, kwetsbaarheden en tegenmaatregelen in het OT-domein.