POC voor next-generation OT malware R4IoT

Naarmate de industrie beter werd in het ontlopen van losgeldeisen, voegden hackers een extra niveau van afpersing toe – de chantage van data om een ‘dubbele afpersing’ te creëren.

Naarmate verdedigers beter worden in het afweren van zo’n dubbele afpersing, zullen de aanvallers zich opnieuw ontwikkelen. De meest voor de hand liggende weg zal zijn om operationele technologie (OT) aan te vallen in plaats van alleen IT. Aanvallen op OT zijn moeilijker te realiseren, maar het effect is evenzeer moeilijker te beperken. De evolutie van cyberafpersing maakt dit meer dan een mogelijke ontwikkeling.

Vedere Labs heeft een proof of concept (PoC) gepubliceerd voor een ‘ransomware’ aanval die gebruik maakt van IoT voor toegang, IT voor traversal, en OT (vooral PLC’s) voor detonatie. De aanval wordt R4IoT genoemd en wordt omschreven als de volgende generatie ransomware.

Het verontrustende aspect van deze PoC is dat er niets nieuws voor nodig is. Het maakt gebruik van exploits die al bestaan. Zorgwekkender is dat het bewijs van concept laat zien dat het op schaal kan worden gebruikt door minder geavanceerde hackers die gebruikmaken van ransomware-as-a-service. De implicatie is dat kritieke sectoren zich nu moeten voorbereiden op een nieuwe golf ransomware-aanvallen die specifiek gericht zijn op OT.

Er is gekozen voor IoT-toegang vanwege de groei van IoT-apparaten die over het algemeen minder defensieve aandacht krijgen dan andere delen van het netwerk. Dergelijke toegang zal waarschijnlijk toenemen.

Het oversteken van IT naar OT is in toenemende mate mogelijk vanwege de voortdurende convergentie van de twee netwerken, die noodzakelijk is geworden door de digitale transformatie van het moderne bedrijfsleven. In de PoC is gebruik gemaakt van bestaande kwetsbaarheden en exploits.

Toekomstige aanvallen op de OT van kritieke industrieën zijn onvermijdelijk, al was het maar omdat kritieke industrieën (denk aan Colonial Pipeline) eerder geneigd zijn de afpersing te betalen, en snel te betalen. De Forescout POC is ontworpen om aan te tonen hoe gemakkelijk criminele bendes dit soort afpersing kunnen plegen – maar het is ook vermeldenswaard dat natiestaten het proces zouden kunnen gebruiken om wipers tegen de kritieke infrastructuur te plaatsen.

Lees meer over dit onderwerp op https://www.theregister.com/2022/06/01/ransomware_iot_devices/

ook interessant