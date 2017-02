Een nieuw type ransomware kan een waterleidingsbedrijf behoorlijk te grazen nemen door kleppen dicht te zetten, meer chloor aan het drinkwater toe te voegen en verkeerde meldingen te geven over wat er daadwerkelijk gebeurt. Het goede nieuws is dat de malware werd ontwikkeld door onderzoekers van het Georgia Institute of Technology die het in een gesimuleerde omgeving demonstreerden.

Ze lieten hun bevindingen zien op beveiligingscongres RSA dat op dit moment wordt gehouden in San Francisco. Het slechte nieuws is dat het onderzoek laat zien dat industriële controlesystemen jaren nadat er al ophef was over de slechte beveiliging hiervan nog altijd kwetsbaar zijn voor aanvallen. "We denken dat ransomware nog een stap verder gaat dan klantendata en zich gaat richten op het frustreren van de controlesystemen zelf", aldus David Formby, een doctoraalstudent van de Georgia Tech School of Electrical and Computer Engineering.

De opstelling van de onderzoekers:





Ramp tot nu toe uitgebleven

Beveiligingsdeskundigen waarschuwen al jaren dat een aanval op kritieke infrastructuren als het lichtnet, verkeersystemen en waterleidingbedrijven nabij zijn en de waarschuwingen worden steeds meer genegeerd omdat het nog steeds niet is misgegaan. Er zijn wel enge aanvallen geweest, zoals de aanval die energiecentrales in de Oekraïne omlegden, maar een catastrofe is uitgebleven. Misschien moeten we 'catastrofe' anders definiëren om mensen wakker te schudden.

Ook wordt het risico groter, vanwege een nieuw element. We nemen al jaren uit dat zo'n aanval vanuit de hoek van een vijandig land komt, maar we zien dat criminelen ook gebaat zijn bij een aanval op bijvoorbeeld een nutsbedrijf. Omdat die niet lang stil kunnen liggen voor een uitgebreide isolatie en recovery, valt er letterlijk winst te behalen met aanvallen op kritieke infrastructuren.

Enorme omzet met nuts-aanval

Ransomwarebendes zijn uit op financieel gewin en voorzichtige berekeningen laten zien dat het enorm winstgevend kan zijn om nutsbedrijven aan te vallen. Onderzoekers konden via het internet maar liefst 1300 PLC's van MicroLogix en 200 van Modicon - die worden gebruikt voor kritieke controlesystemen - rechtstreeks benaderen. Als je zo'n belangrijk systeem weet te gijzelen, 10.000 dollar vraagt als losgeld en zelfs de helft van de organisaties weigert te betalen, kom je met aanvallen op enkel deze twee PCB's al uit op een omzet van 7,5 miljoen dollar, berekent Formby.

Dat bedrag wordt veel hoger als je systemen meeneemt die niet direct via internet te benaderen zijn, maar achter een firewall zitten. Maar de scheiding moet veel fundamenteler: webservers en werkstations moeten volledig gescheiden zijn van het controlenetwerk dat de fysieke centrale aanstuurt.

De ransomworm:





Hierna: Een waterleidingbedrijf is natuurlijk een extreem voorbeeld, maar overnames van OV-systemen, liften en gebouwbeheer kunnen een hoge impact hebben op ons dagelijks leven.