×
steel-factory-plant.jpg
Efter att ha drabbats av en försvagande ransomware attack på tisdag denna vecka, aluminium tillverkare Norsk Hydro är långsamt börjar återhämta sig från händelsen.
“Experter från Microsoft och andra IT-säkerhet partners har flugit till stöd Vattenkraft i vidtar alla nödvändiga åtgärder på ett systematiskt sätt för att få affärskritiska system tillbaka i normal drift,” Jo De Vliegher, Chef för informationssystem, sade i ett pressmeddelande denna vecka.
Företagets Chief Financial Officer (CFO), Eivind Kallevik, sade också att företaget inte har för avsikt att betala hackare ” lösen efterfrågan och har redan börjat återställa sin IT-infrastruktur från säkerhetskopior.
Generellt, händelsen har beskrivits som katastrofala av Vattenkraft tjänstemän. Den ransomware påverkat Norsk Hydros produktion och office IT-system.
I händelsen är efterdyningarna av system som förvaltas av produktionsutrustning hade sina uppgifter krypteras och bortkopplad från företagets nätverk, förebygga Norsk Hydro anställda från att hantera fabriken utrustning.
Företaget bytte till manuella operationer, som inte påverkar produktion, men fick sakta ner fabriken resultat och lett till några tillfälliga avbrott som anställda räknat ut att det bästa sättet att gå om deras arbete.
Men den största effekten var på Norsk Hydros office IT-infrastruktur. I två presskonferenser, som hålls på tisdag och torsdag, Kallevik sa att inte ha tillgång till kunders beställningar var det största hindret de hade att göra med att hålla produktionen linjer som går.
Anläggningar i Europa och USA var de mest påverkade, Kallevik sade, och särskilt divisioner tillverkar extruderade och rullade aluminium produkter. I dessa fabriker, anställda hade problem med att ansluta till produktion av utrustning, enligt en status uppdatering tillhandahålls i går, och täta stopp och produktion linje startar inträffat.
Imge: Norsk Hydro
×
norsk-hydro-status.png
Norsk Hydro exec avböjt att ge fördjupad information om händelsen i sig, med hänvisning till en pågående brottsbekämpande utredning.
Dock tillräckligt med information har läckt ut på internet från andra källor för vissa mycket rimliga teorier och förklaringar av vad som hände inne Norsk Hydro visas –såsom en från infosec expert Kevin Beaumont.
Baserat på ransomware prov upp på den aggregerade malware scanner service VirusTotal, och bygger på en analys av de funktioner som finns i proverna, Norsk Hydro händelsen verkar ha hänt efter att hackare har brutit mot företagets nätverk och flyttas i sidled tills de fått tillgång till en Active Directory-server.
Beaumont säger LockerGoga ransomware saknar själv sprida funktioner som finns i WannaCry, NotPetya, eller Dåligt Kanin, och det enda sättet så många Norsk Hydro växter kan ha påverkats på samma gång var om hackare används företagets centrala Active Directory-server för att driva ransomware att alla av Norsk Hydros arbetsstationer samtidigt.
Den Brittiske forskaren också noteras att LockerGoga ransomware var också kodade att arbeta mycket snabbt, utnyttja “varje CPU-kärna och tråd under kryptering.”
“På en genomsnittlig system inom några minuter, det är toast”, sade han i en analys som han publicerade i går.
Dessutom ransomware även funktionshindrade nätverkskort på alla infekterade system och förändrat den lokala admin-kontots lösenord. Båda transaktionerna gjordes för att förhindra återvinning, till exempel att trycka ut säkerhetskopior från en avlägsen server för att snabbt återställa infekterade system.
På grund av detta, backuper behöver sättas in manuellt, för hand, för att alla drabbade DATORN.
Det enda Hydro anställda kunde göra efter den ransomware var utplacerade var att använda deras lokal icke admin-konton för att logga in på den arbetsstation där de skulle se LockerGoga gisslan anteckning öppnas på deras skärmar.
Bild: Kevin Beaumont
×
lockergoga.png
Beaumont (väl dokumenterat) teori om vad som kan ha hänt inne i Vattenkraft på den dagen kan vara något som bekräftats av en säkerhetsvarning som skickas ut av Norge Computer Emergency Response Team (NorCERT) på dagen för händelsen, varning företag om attacker som utförs via Active Kataloger med LockerGoga ransomware.
Norsk Hydro markerar den andra stora företag som är smittade med LockerGoga ransomware efter skadlig kod var också finns på nätet av Altran Technologies, en fransk teknisk konsultfirma, i slutet av januari.
Medan de flesta infosec experter klassificera LockerGoga ransomware infektion som en it-brottslighet-relaterade incidenter, med skurkar försöker pressa pengar från en hackad företag, det är också en annan teori som sakta tar form.
Denna teori är baserat på ett blogginlägg av cyber-bevakningsföretag Cisco Talos som lyfte fram några LockerGoga funktioner som är specifika för torkare (destruktiva) skadlig kod, snarare än ransomware. Några säkerhet forskare tittar nu på Norsk Hydro attack som en nation-state hacker grupp som märkte att det hade upptäckts och bestämde sig för att dölja sin närvaro genom att använda LockerGoga på Hydro nätverk, i ett försök att lura incident responders. Detta är dock bara en teori, utan belägg, som främst tog form efter ytterligare ett norskt företag, cloud provider Visma, medgav i förra månaden för att bli hackad av Kinesiska hackare.
Mer ransomware täckning:
Georgien län betalar en jättestor $400,000 att bli av med en ransomware infectionRansomware: En verkställande guide till en av de största hot på webPewDiePie fans hålla på med skräp ransomwareAluminum producent växlar till manuell drift efter ransomware infektion
Polisförbundet drabbats av ransomware attackAvast och Emsisoft släppa fri dekrypterare för BigBobRoss ransomwareNew ransomware kräver betalning över WeChat Betala i Kina CNET
Ransomware: En lathund för yrkesverksamma TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter