Kaspersky voorspelt verschuivingen in dreigingslandschap 2023

Kaspersky's ICS CERT-onderzoekers hebben hun voorspellingen gedeeld voor de komende jaren op industriële besturingssystemen gerichte ontwikkelingen en risico's waarop organisaties zich in 2023 moeten voorbereiden. Deze voorspellingen omvatten een groter aanvalsoppervlak als gevolg van digitalisering, activiteiten van vrijwillige en cybercriminele insiders en ransomware-aanvallen op kritieke infrastructuur. Maar ook vanwege de technische, economische en geopolitieke effecten op de kwaliteit van dreigingsdetectie en de toename van potentiële kwetsbaarheden die door aanvallers worden uitgebuit.

Deze voorspellingen zijn de som van de meningen van Kaspersky's ICS CERT-team op basis van hun collectieve ervaring met onderzoek naar kwetsbaarheden, aanvallen en reactie op incidenten, alsook de persoonlijke visie van de deskundigen op de belangrijkste vectoren die veranderingen in het bedreigingslandschap aansturen.

Nieuwe risico's en veranderingen in het bedreigingslandschap
Kaspersky-experts voorspellen een verschuiving in de activiteit van geavanceerde aanhoudende bedreigingen (APT) tegen industriële organisaties en OT-systemen in nieuwe sectoren en locaties. De sectoren van de reële economie, zoals landbouw, logistiek en transport, de alternatieve energiesector en de energiesector als geheel, hightech, farmaceutica en producenten van medische apparatuur zullen volgend jaar waarschijnlijk meer aanvallen te zien krijgen. Bovendien zullen ook traditionele doelwitten, zoals de overheidssector, blijven bestaan.

Het aanvalsoppervlak zal ook toenemen door digitalisering in een race naar hogere efficiëntie in IIoT en SmartXXX, waaronder systemen voor voorspellend onderhoud en digital twin technologie. Deze trend wordt ondersteund door de statistieken van aanvallen op Computerized Maintenance Management Systems (CMMS) in de eerste helft van 2022. De top-10 landen die deze systemen lieten aanvallen worden gezien als landen met een hoger securityniveau.

De risico's van een groter aanvalsoppervlak houden ook verband met de stijgende prijzen van energiedragers en de daaruit voortvloeiende prijsstijgingen van hardware. Hierdoor zouden  veel ondernemingen hun plannen om ter plaatse infrastructuur in te zetten moeten opgeven ten gunste van cloud-diensten van derden en waardoor ook sommige IB-budgetten aangetast zouden kunnen worden.

Bedreigingen kunnen ook komen van onbemande transportmiddelen en aggregaten die zowel doelwitten als aanvalsinstrumenten kunnen zijn. Andere risico's waarop gelet moet worden zijn de verhoogde criminele activiteiten als het gaat om het verzamelen van gebruikersgegevens. Daarnaast moet gelet worden op meer vrijwillige ideologische en politiek gemotiveerde insiders, en insiders die samenwerken met criminele groepen, meestal afpersers en APT's. Deze insiders kunnen actief zijn in productiefaciliteiten, maar ook bij technologieontwikkelaars, productverkopers en dienstverleners.

De geopolitieke eb en vloed van vertrouwde partnerschappen, die ook een wereldwijd effect hebben op de toestand van de cybersecurity in ICS, zal in 2023 duidelijker naar voren komen. Naast de groei van hacktivistische activiteiten die "werken" aan interne en externe politieke agenda's, die mogelijk effectiever worden, zouden we ook meer ransomware-aanvallen op kritieke infrastructuur kunnen zien omdat het moeilijker wordt om dergelijke aanvallen te vervolgen.

Verslechtering van de internationale samenwerking op het gebied van rechtshandhaving zal leiden tot een toevloed van cyberaanvallen in landen die als tegenstanders worden beschouwd. Tegelijkertijd kunnen nieuwe, in eigen land ontwikkelde alternatieve oplossingen ook leiden tot nieuwe risico's, zoals software met fouten in de beveiligingsconfiguratie en gemakkelijke "zero-day"-kwetsbaarheden, waardoor ze toegankelijk worden voor zowel cybercriminelen als hacktivisten.

Nieuwe technieken en tactieken om op te letten bij toekomstige aanvallen
Kaspersky ICS CERT-onderzoekers hebben ook een lijst gemaakt van toptechnieken en -tactieken die naar verwachting in 2023 zullen floreren, een selectie:
• Phishingpagina's en scripts ingesloten op legitieme sites
• Phishing-e-mails over actuele gebeurtenissen met bijzonder dramatische onderwerpen, waaronder politieke gebeurtenissen
• Documenten die bij eerdere aanvallen op verwante of partnerorganisaties zijn gestolen en als lokaas in phishingmails worden gebruikt
• N-day kwetsbaarheden - deze worden nog langzamer gedicht omdat beveiligingsupdates voor sommige oplossingen op sommige markten minder toegankelijk worden
• Aanvallen op clouddiensten
• Gebruik van configuratiefouten in beveiligingsoplossingen, bijvoorbeeld degene die het mogelijk maken een antivirusoplossing uit te schakelen
• Populaire clouddienst gebruiken als CnC - zelfs nadat een aanval is geïdentificeerd, kan het slachtoffer nog steeds niet in staat zijn de aanvallen te blokkeren omdat belangrijke bedrijfsprocessen afhankelijk kunnen zijn van de cloud