Norsk Hydro niet betalen van losgeld eisen en herstellen van back-ups

0
211
Steel factory plant

×

steel-factory-plant.jpg

Na het lijden van een slopende ransomware aanval op dinsdag deze week, aluminium producent Norsk Hydro is langzaam begon te herstellen van het incident.

“De Experts van Microsoft en andere IT-security partners hebben gevlogen in de steun Hydro in het nemen van alle noodzakelijke acties op een systematische manier om bedrijfskritische systemen terug in de normale werking,” Jo De Vliegher, Hoofd Informatie Systemen, zei in een persbericht deze week.

De Chief Financial Officer (CFO), Eivind Kallevik, zei ook dat het bedrijf niet van plan is te betalen, de hackers’ losgeld eisen en is reeds begonnen met het herstel van de IT-infrastructuur van back-ups.

Over het algemeen, het incident is beschreven als rampzalig door Hydro ambtenaren. De ransomware beïnvloed Norsk Hydro, de productie en het kantoor van IT-systemen.

In de nasleep van het incident, systemen die beheerd apparatuur voor de productie van hun gegevens versleuteld en losgekoppeld van het netwerk van de vennootschap, het voorkomen van Norsk Hydro medewerkers van het beheren van een fabriek apparatuur.

Het bedrijf overgeschakeld naar handmatige handelingen, die had geen invloed op de productie, maar deed vertragen fabriek uitgangen en leidde tot een tijdelijke onderbrekingen van werknemers, bedacht de beste manier om te gaan over hun werk.

Maar de grootste impact was op Norsk Hydro het kantoor van IT-infrastructuur. In twee persconferenties, gehouden op dinsdag en donderdag, Kallevik zei dat het niet hebben van toegang tot de klant orders was de grootste hindernis die zij had te maken met in het houden van de productie lijnen gaat.

Planten in Europa en de VS werden het meest beïnvloed, Kallevik zei, en in het bijzonder de divisies van de productie van geëxtrudeerde en gewalst aluminium producten. In deze fabrieken, werknemers had problemen met de apparatuur voor de productie, volgens een status update op voorwaarde van gisteren, en frequente onderbrekingen en de productielijn opgestart opgetreden.

Norsk Hydro status

Imge: Norsk Hydro

×

norsk-hydro-status.png

De Norsk Hydro exec geweigerd te verstrekken gedetailleerde informatie over het incident zelf, het citeren van een lopend gerechtelijk onderzoek.

Echter, genoeg informatie heeft gelekt op het internet van andere bronnen voor een aantal zeer plausibele theorieën en uitleg van wat er gebeurd is binnen Norsk Hydro te verschijnen, zoals één van infosec expert Kevin Beaumont.

Op basis van ransomware monsters geupload op geaggregeerd malware scanner service VirusTotal, en gebaseerd op een analyse van de functies gevonden in de monsters, de Norsk Hydro incident lijkt te zijn gebeurd nadat hackers geschonden, het netwerk van de vennootschap en lateraal verplaatst totdat ze toegang gekregen tot een Active Directory-server.

Beaumont, zegt de LockerGoga ransomware ontbreekt het aan zichzelf verspreidende eigenschappen gevonden in WannaCry, NotPetya, of Slecht, het Konijn, en de enige manier zo veel Norsk Hydro planten kunnen beïnvloed zijn op de dezelfde tijd was als hackers gebruikt het bedrijf de centrale Active Directory-server om de ransomware om alle van Norsk Hydro werkstations op hetzelfde moment.

De Britse onderzoeker merkte ook op dat de LockerGoga ransomware werd ook gecodeerd zijn om te werken erg snel, gebruik te maken van “elke CPU core en draad tijdens encryptie.”

“Op een gemiddeld systeem binnen een paar minuten, het is toast”, zei hij in een analyse publiceerde hij gisteren.

Daarnaast is de ransomware ook uitgeschakeld netwerk kaarten op alle geïnfecteerde systemen en veranderde de lokale admin-wachtwoord. Beide operaties werden gedaan om te voorkomen dat het herstel bewerkingen, zoals het duwen van back-ups van een externe server voor het snel herstellen van geïnfecteerde systemen.

Omdat van deze back-ups moeten handmatig worden geïmplementeerd, met de hand, elke getroffen PC.

Het enige wat Hydro medewerkers kon doen na de ransomware werd ingezet was gebruik te maken van hun lokale non-admin accounts om in te loggen op de besmette werkplek, waar ze de LockerGoga losgeld opmerking geopend op hun schermen.

LockerGoga ransom note

Beeld: Kevin Beaumont

×

lockergoga.png

Beaumont (goed gedocumenteerde) theorie van wat er zou zijn gebeurd in Hydro op die dag kan enigszins bevestigd door een security alert verstuurd door de Noorwegen Computer Emergency Response Team (NorCERT) op de dag van het incident, waarschuwing bedrijven over de aanvallen uitgevoerd via Active Directories met de LockerGoga ransomware.

Norsk Hydro markeert het tweede grote bedrijf besmet door de LockerGoga ransomware na de malware werd ook gevonden op het netwerk van Altran Technologies, een franse engineering adviesbureau, eind januari.

Terwijl de meeste infosec deskundigen zijn het indelen van de LockerGoga ransomware infectie als een cybercrime-incident, met oplichters proberen te persen geld af van een gehackt bedrijf, er is ook een andere theorie langzaam vorm aan te nemen.

Deze theorie is gebaseerd op een blog post door cyber-security bedrijf Cisco Talos die gemarkeerd sommige LockerGoga functies zijn specifiek voor de wisser (destructieve) malware, dan ransomware. Sommige onderzoekers zijn nu op zoek naar de Norsk Hydro aanval als een natie-staat, de hacker groep die merkte dat het was ontdekt en besloten te maskeren hun aanwezigheid door de inzet van LockerGoga op Hydro, netwerk, in een poging om gek incident hulpverleners. Dit is echter slechts een theorie, met geen ondersteunend bewijs, die vooral gestalte kreeg na de andere noorse bedrijf, cloud provider Visma, toegelaten in de laatste maand van het krijgen gehackt door de Chinese staat hackers.

Meer ransomware dekking:

Georgië county betaalt maar liefst $400,000 om zich te ontdoen van een ransomware infectionRansomware: Een executive gids naar één van de grootste bedreigingen op de webPewDiePie fans blijven maken van ongewenste ransomwareAluminum producent schakelt over naar handmatige handelingen na ransomware infectie
De politie Federatie getroffen door ransomware attackAvast en Emsisoft vrije decrypters voor BigBobRoss ransomwareNew ransomware eist betaling over WeChat Betalen in China CNET
Ransomware: Een cheat sheet voor professionals TechRepublic

Verwante Onderwerpen:

Beveiliging TV

Data Management

CXO

Datacenters