„LockerGoga” zaatakował firmę Hits Norsk Hydro

Norsk Hydro, wiodąca europejska firma produkująca aluminium działająca w ponad 50 krajach, została zaatakowana przez ransomware LockerGoga 18 marca 2019 r. Atak był tak daleko idący, że dyrektor finansowy Norsk Hydro Eivind Kallevik powiedział: „nasza sieć informatyczna na całym świecie nie działa, wpłynęło to zarówno na naszą produkcję jak i działania operacyjne”. W rezultacie produkcja została wstrzymana w kilku zakładach na krótki czas. Na całe szczęście straty w produkcji były minimalne.

W jaki sposób działa LockerGoga?

Ważne jest, aby pamiętać, że wektor ataku nie jest obecnie znany. Możliwe, że ktoś zalogował się za pomocą skradzionych uprawnień administracyjnych lub że dostęp do sieci był możliwy dzięki wykorzystaniu luki w zabezpieczeniach (podatności). Chociaż druga możliwość może wydawać się mało prawdopodobna (sam LockerGoga raczej nie wykorzystuje luk w zabezpieczeniach), nadal istnieje szansa, że ​​może mieć na to wpływ otwarta luka przez inny „exploit”. Dopóki nie ustalą, w jaki sposób został zarażony pierwszy komputer w sieci, ważne jest aby nie wykluczać żadnego potencjalnego wektoru ataku.

W jaki sposób LockerGoga rozprzestrzenił się przez Norsk Hudro?

Atak LockerGoga na Norsk Hydro rozpoczął się w jednym z ich amerykańskich zakładów, a oprogramowanie ransomware rozprzestrzeniło się za pośrednictwem Active Directory firmy Norsk. Active Directory to usługa firmy Microsoft służąca do zarządzania komputerami i urządzeniami sieciowymi, umożliwiająca administratorom sieci tworzenie domen, użytkowników i obiektów oraz zarządzanie nimi. Jeśli ktoś ma kontrolę nad Active Directory organizacji, ma kontrolę nad całą siecią.

LockerGoga został następnie przekazany do innych oddziałów Norsk Hydro, wpływając na globalną produkcję i działalność biurową. Po zidentyfikowaniu i powstrzymaniu ataku wszyscy pracownicy zostali ostrzeżeni – w siedzibie głównej został umieszczony obraz ostrzegający personel przed podłączaniem urządzeń do sieci.

W momencie pisania tego posta (data oryginalnego wpisu to 22.03) Norsk Hydro nadal pracuje nad swoim planem naprawczym, ale wygląda na to, że próbują korzystać z kopii zapasowych zamiast płacić okup, aby odszyfrować oryginalne pliki. Nie ustalili jeszcze jasnego harmonogramu, kiedy mogliby ponownie zacząć działać w normalnym trybie oraz wrócić do pełnej gotowości operacyjnej. Do tego czasu obowiązują procesy ręczne.

LockerGoga – większy trend

Chociaż ten atak nie dotyczył wyłącznie systemów OT Norsk Hydro, to sam fakt, że tradycyjne taktyki ataku IT, takie jak oprogramowanie ransomware, wpływają na środowisko OT, powinien budzić obawy. Atak Norsk Hdydro to tylko najnowszy przykład rosnącego trendu cyberataków na OT:

  • Ten sam ransomware LockerGoga, był powiązany z atakiem na francuską grupę doradczą ds. Technologii Altran Technologies na początku tego roku,
  • Również w 2018 r. wykorzystanie exploit’u przez malware OmniRAT było przyczyną ataku na firmy powiązane z Kuwait Oil Company na Bliskim Wschodzie, prawdopodobnie z rozbudowanymi sieciami OT ze względu na ich rolę w sektorze energetycznym,
  • Tuż przed Nowym Rokiem zagrożenie o nazwie „Shamoon” po raz kolejny dał o sobie znać, czyszcząc setki dysków komputerów giganta naftowego Saipem.

Co powinny zrobić firmy których biznes opiera się o sieci OT?

Aby chronić sieć OT przed rosnącym zagrożeniem, przede wszystkim organizacje muszą mieć dobrą widoczność w środowiskach OT pod względem dostępu oraz występującego ryzyka. Dodatkowo powinny wiedzieć w jaki sposób środowisko OT jest połączone ze środowiskiem IT. Po to aby osiągnąć pełną widoczność organizacje powinny:

  • Zrozumieć aspekt segmentacji sieci oraz wdrożyć ją, po to aby wyizolować krytyczne zasoby oraz te które są podatne na ataki,
  • Dokonywać oceny oraz nadawać priorytetu wykrytym podatnościom a w szczególności tym w stosunku do których istnieją „exploity” (sposoby wykorzystania luk w systemach). Pozwoli to ograniczyć możliwości rozpowszechniania oraz uruchomienia takich zagrożeń jak LockerGoga,
  • Identyfikować inne słabości systemów bezpieczeństwa takie jak nadmierny dostęp lub problemy konfiguracyjne urządzeń sieciowych.

 

Źródło: skyboxsecurity.com 

Sprawdź pozostałe Newsy

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie