Ransomware och tillverkningsindustrin

 

Tidigare var hotlandskapet inom cybersäkerhet präglat av angripare med spionagemotiv, vilka riktade in sig på tillverkningsföretag för att stjäla immateriella rättigheter (IP) och företagshemligheter. Deras mål var ofta att skaffa sig strategiska fördelar genom att få tillgång till teknisk information och företagshemligheter. Denna typ av angrepp var ofta noggrant planerade och genomförda av avancerade aktörer.

I dagens digitala landskap har dock hotbilden förändrats dramatiskt. Ransomware-attacker och attacker med stulna inloggningsuppgifter har blivit betydligt vanligare och utgör nu en allvarlig risk för organisationer. I stället för att sträva efter spionagemål fokuserar angripare nu på att kryptera känslig information och kräva lösensumma för att återställa tillgången till den drabbade organisationen.

Denna förändring i angreppsmetoder indikerar en övergång från motiv som tidigare var inriktade på långsiktig strategisk vinning till snabb ekonomisk vinning för angriparna. Ransomware-angrepp, där angriparna kräver betalning för att återlämna data eller låsa upp system, har blivit ett utbrett verktyg för cyberkriminella.

Samtidigt utnyttjar angripare även stulna inloggningsuppgifter för att få obehindrad tillgång till system och nätverk. Genom att kompromettera användarnas konton kan angriparna röra sig obemärkt inom organisationens infrastruktur och genomföra skadliga åtgärder utan att detekteras i realtid.

Bara under 2023 skedde 1 817 säkerhetsöverträdelser mot tillverkningssystem, 262 med bekräftat dataintrång och läkta uppgifter (#1).  Tillverkning är bland de mest riktade sektorerna för ransomware-attacker, med en ökning med 87% av ransomware-attacker från 2021 till 2022 (#2). Detta beror på tillverkningens motvilja mot driftstopp. Eller som Verizon uttryckte det i sin 2022 Data Breach Industry Report, tillverkning är "en bransch där tillgänglighet är lika med produktivitet."

Ransomware-attacken mot Dole Company, en av världens största producenter av frukt och grönsaker, i februari 2023 visade hur förlamande dessa attacker kan vara. Företaget tvingades tillfälligt stänga sina nordamerikanska produktionsanläggningar.

Ett annat exempel är attacken i juni 2023 mot den marina industrigiganten Brunswick Corporation, som resulterade i förluster på uppemot 85 miljoner dollar.

Trots att de förstår risken är många tillverkningsföretag ännu inte beredda att hantera en attack. Enligt Security Scorecard (#3) fick 48%, nästan hälften, av de granskade tillverkningsföretagen en C, D eller F i säkerhet. Detta kommer till ett högt pris: den genomsnittliga kostnaden för ett dataintrång i kritisk infrastruktur är 4.45 miljoner dollar, enligt IBMs rapport "Cost of a Data Breach" (#4).

 

Vad kan tillverkare göra för att skydda sig?

Stulna inloggningsuppgifter är den svaga länken i alla systemintrångsincidenter. I till exempel Colonial Pipeline-intrånget användes ett komprometterat användarnamn och lösenord för att komma åt nätverket.

Volymen av komprometterade autentiseringsuppgifter som är tillgängliga på Dark Web och internet fortsätter att växa exponentiellt. Och tack vare det skenande problemet med återanvändning av lösenord, används dessa stulna referenser sedan för att komma åt nya organisationers och individers system och konton.

För att ge perspektiv på varför stulna referenser är så effektiva erkänner 62% av de anställda att de återanvänder lösenord (#5). Dessutom, även om lösenordet inte direkt återanvänds, återanvänder ännu fler anställda samma rotlösenord med uppenbara ändringar och delar detta rotlösenord med personliga konton, ofta på tjänster med lägre säkerhet. Och det är denna svaghet som dåliga aktörer och nationalstater utnyttjar genom olika automatiserade attacker, inklusive inloggningsfyllning.

FIDO2-kort är användbart för användare som loggar in på till exempel datorer som används i produktion där användarna traditionellt delar inloggningsuppgifter. FIDO2 är mer flexibelt i scenarier med delade skrivbord än till exempel Windows Hello for Business där nycklarna lagras lokalt på enhetens TPM-krets. Med WHfB innebär att en användare måste registrera sitt konto på varje enhet. Med FIDO2-kort däremot lagras autentiseringsuppgifterna på korten och inte på den lokala enheten/TPM:en.

En annan fördel är att man kan få information i Entra AD vilket kort som användes vid inloggningstillfället.

 

2024-02-29
Marcus Malm, IT-säkerhetsspecialist Areff – a part of Seriline Group

Källor

  1. DBIR Report 2023 - Data Breaches in Manufacturing Industries| Verizon Business
  2. DBIR Report 2022 - Data Breaches in Manufacturing Industries| Verizon Business
  3. Addressing the Trust Deficit in Critical Infrastructure (securityscorecard.com)
  4. Cost of a data breach 2023: Financial industry impacts (securityintelligence.com)
  5. Tackling The Double Threat From Ransomware And Stolen Credentials (forbes.com)