Onderzoek Sophos: De mediane herstelkosten voor 2 sectoren met kritieke infrastructuur, energie en water, zijn in 1 jaar verviervoudigd tot $3 miljoen

Breda, 21 augustus 2024 – Sophos, wereldwijd leider in innovatieve beveiligingsoplossingen tegen cyberaanvallen, publiceert een sectoraal onderzoeksrapport genaamd, “The State of Ransomware in Critical Infrastructure 2024”, waaruit blijkt dat de mediane herstelkosten voor twee sectoren met kritieke infrastructuur, energie en water in het afgelopen jaar zijn verviervoudigd tot $3 miljoen. Dat is vier keer hoger dan de wereldwijde sectoroverschrijdende mediaan. Bovendien begon 49% van de ransomware-aanvallen tegen deze twee sectoren met kritieke infrastructuur met een uitbuiting van een kwetsbaardhied.

De gegevens van het State of Ransomware in Critical Infrastructure 2024-rapport zijn afkomstig van 275 respondenten in energie-, olie en gas- en nutsbedrijven, die onder de energie- en watersectoren van de 16 gedefinieerde sectoren met kritieke infrastructuur van het CISA vallen. De resultaten van dit sectoraal onderzoeksrapport maken deel uit van een breder, leveranciersonafhankelijk onderzoek bij 5.000 cybersecurity-/IT-leiders dat werd uitgevoerd tussen januari en februari 2024 in 14 landen en 15 industriële sectoren.

“Criminelen kijken waar ze de meeste pijn en verstoring kunnen veroorzaken zodat het publiek snelle oplossingen zal eisen en hoopt dat het betalen van losgeld de diensten sneller zal herstellen. Dat maakt nutsbedrijven een van de belangrijkste doelwitten voor ransomware-aanvallen. Wegens de essentiële functies die ze bieden, eist de moderne maatschappij dat ze snel en met minimale verstoring opnieuw operatief zijn.” zegt Chester Wisniewski, Global Field CTO bij Sophos.

“Helaas zijn openbare nutsbedrijven niet alleen aantrekkelijke doelwitten, maar ook kwetsbaar voor aanvallen op veel fronten, zoals de eis van hoge beschikbaarheid en veiligheid, en een engineering mindset gericht op fysieke beveiliging. Er is een overwicht aan oudere technologieën die zijn geconfigureerd voor beheer op afstand, zonder moderne beveiligingscontroles zoals versleuteling en multifactorauthenticatie. Net als ziekenhuizen en scholen werken deze nutsbedrijven vaak met een minimale personeelsbezetting en zonder het IT-personeel dat nodig is om op de hoogte te blijven van patches, de nieuwste beveiligingskwetsbaarheden en de monitoring voor vroege opsporing en respons.”

Naast de toenemende herstelkosten steeg het mediane losgeld voor organisaties in deze twee sectoren naar meer dan $2,5 miljoen in 2024 - $500.000 hoger dan de wereldwijde sectoroverschrijdende mediaan. De energie- en watersectoren rapporteerden ook het op een na hoogste percentage ransomware-aanvallen. In totaal meldden 67% van de organisaties in deze sectoren dat ze in 2024 werden getroffen door ransomware, in vergelijking met het wereldwijde sectoroverschrijdende gemiddelde van 59%.

Andere bevindingen uit het onderzoek:

• De energie- en watersectoren rapporteerden steeds langere hersteltijden. Slechts 20% van de organisaties die werd getroffen door ransomware kon in 2024 binnen een week of minder herstellen, vergeleken met 41% in 2023 en 50% in 2022. Vijfenvijftig procent had meer dan een maand nodig om te herstellen, tegenover 36% in 2023. Ter vergelijking: over alle sectoren heen, had slechts 35% van de bedrijven meer dan een maand nodig om te herstellen.
• Deze twee sectoren met kritieke infrastructuur rapporteerden het hoogste percentage gecompromitteerde back-ups (79%) en het op twee na hoogste percentage succesvolle versleuteling (80%) in vergelijking met de andere onderzochte sectoren.

“Dit bewijst eens te meer dat het betalen van losgeld bijna altijd in strijd is met onze belangen. Een toenemend aantal (61%) betaalde het losgeld als onderdeel van hun herstel, maar de tijd om te herstellen was langer. Niet alleen moedigen deze hoge percentages en losgeldsommen meer aanvallen op de sector aan, ze bereiken ook niet de doelstelling van kortere hersteltijden.” zegt Wisniewski.

“Deze nutsbedrijven moeten erkennen dat ze een doelwit zijn en proactief actie ondernemen om hun blootstelling aan toegang op afstand en netwerkapparaten te monitoren op kwetsbaarheden. Ook moeten ze ervoor zorgen dat ze 24/7 monitoring- en responsmogelijkheden hebben om de uitval te beperken en de herstelperiode te verkorten. Plannen voor het reageren op incidenten moeten op voorhand worden vastgelegd, net als plannen voor branden, overstromingen, orkanen en aardbevingen, en ze moeten regelmatig worden geoefend."

Lees het volledige State of Ransomware in Critical Infrastructure op Sophos.com.

Lees meer over ransomware

• The State of Ransomware 2024
• Het effect van cyberverzekering op het ransomwarelandschap
• De rol van wetshandhaving in ransomware-aanvallen
• De rol van niet-gepatchte kwetsbaarheden in ransomware-aanvallen
• Hoe vaak de back-ups van bedrijven gecompromitteerd raken bij ransomware-aanvallen
• De toename van versleuteling op afstand onder ransomwaregroepen
• Ransomware-aanvallers die managed service providers (MSP’s) aanvallen in het 2024 Sophos Threat Report: Cybercrime on Main Street
• De nieuwste technieken, tactieken en procedures (TTP’s) van cyberaanvallers in het Active Adversary Report for 1H 2024
• Het evoluerende ransomware businessmodel in Junk Gun’ Ransomware: Peashooters Can Still Pack a Punch
• Sophos X-Ops en zijn baanbrekende onderzoek naar bedreigingen door je te abonneren op de blogs van Sophos X-Ops