×
steel-factory-plant.jpg
Dopo aver subito una debilitante ransomware attacco di martedì di questa settimana, il produttore di alluminio Norsk Hydro sta lentamente iniziando a recuperare dall’incidente.
“Gli esperti di Microsoft e altri partner di protezione hanno volato per un aiuto Idro a prendere tutte le azioni necessarie in un modo sistematico per ottenere i sistemi business-critical indietro nel funzionamento normale,” Jo De Vliegher, responsabile Sistemi informativi, ha detto in un comunicato stampa di questa settimana.
Il Chief Financial Officer (CFO), Eivind Kallevik, anche detto che la società non intende pagare gli hacker’ richiesta di riscatto e ha già iniziato il recupero di sua infrastruttura di backup.
Nel complesso, l’incidente è stato descritto come disastrosa da Idro funzionari. Il ransomware impatto Norsk Hydro produzione e ufficio sistemi informatici.
Nell’incidente del dopoguerra, i sistemi di produzione gestito attrezzature avuto i loro dati crittografati e scollegato dalla rete dell’azienda, impedendo Norsk Hydro dipendenti dalla gestione di attrezzature di fabbrica.
L’azienda acceso per le operazioni manuali, che non ha un impatto sulla produzione, ma ha fatto rallentare fabbrica uscite e ha portato ad alcune fermate temporanee come dipendenti capito il modo migliore per andare circa il loro lavoro.
Ma il più grande impatto su Norsk Hydro ufficio di infrastruttura IT. In due conferenze stampa, tenutasi martedì e giovedì, Kallevik ha detto che non avendo accesso agli ordini dei clienti è stato l’ostacolo più grande che ha dovuto affrontare nel mantenere le linee di produzione in corso.
Piante in Europa e negli stati UNITI sono stati i più colpiti, Kallevik detto, e soprattutto le divisioni produzione di laminati ed estrusi in alluminio. In queste fabbriche, i dipendenti avuto problemi di collegamento alle apparecchiature di produzione, secondo un aggiornamento di stato ha fornito ieri, con frequenti interruzioni e linea di produzione di riavvio si è verificato.
Imge: Norsk Hydro
×
norsk-idro-stato.png
Il Norsk Hydro exec rifiutato di fornire in modo approfondito i dettagli circa l’incidente, citando un corso di applicazione della legge di indagine.
Tuttavia, abbastanza informazione è trapelata su internet e da altre fonti, per alcuni molto plausibile teorie e spiegazioni di quello che è successo all’interno della Norsk Hydro apparire-come uno da infosec esperto Kevin Beaumont.
Basato su campioni ransomware caricato su aggregati scanner di malware servizio VirusTotal, e basato su un’analisi delle caratteristiche del campione, il Norsk Hydro incidente sembra essere accaduto dopo che alcuni hacker hanno violato la rete dell’azienda e spostato lateralmente fino a quando hanno ottenuto l’accesso a un server di Active Directory.
Beaumont dice il LockerGoga ransomware manca l’auto-propagazione di caratteristiche che si trovano in WannaCry, NotPetya, o Cattivo Coniglio, e l’unico modo in cui tanti Norsk Hydro piante potrebbero essere stati influenzati allo stesso tempo era se gli hacker hanno utilizzato la centrale dell’azienda Active Directory server per spingere il ransomware a tutti Norsk Hydro postazioni di lavoro allo stesso tempo.
Il ricercatore Britannico che ha anche osservato che il LockerGoga ransomware è stato anche in codice a lavorare molto velocemente, utilizzando “ogni core della CPU e del filo durante la crittografia.”
“In media, in un sistema in pochi minuti, è toast”, ha detto in un’analisi che ha pubblicato ieri.
Inoltre, il ransomware, inoltre, accesso portatori di schede di rete su tutti i sistemi infetti e cambiato il locale password dell’account admin. Entrambe le operazioni sono state fatte per evitare che le operazioni di recupero, ad esempio spingendo fuori le copie di backup da un server remoto per recuperare rapidamente i sistemi infetti.
A causa di questo, i backup devono essere distribuiti manualmente, a mano, per ogni PC colpiti.
L’unica cosa Idro dipendenti potrebbe fare dopo il ransomware è stato distribuito è stato di utilizzare i loro locali, camere non-admin account per accedere al infetti workstation, dove si vedevano le LockerGoga nota di riscatto aperto sui loro schermi.
Immagine: Kevin Beaumont
×
lockergoga.png
Beaumont (ben documentato) la teoria di cosa potrebbe essere successo all’interno di Idro in quel giorno può essere un po ‘ confermato da un avviso di sicurezza inviata dalla Norvegia Computer Emergency Response Team (NorCERT), il giorno dell’incidente, avviso di aziende di attacchi effettuati tramite Active Directory con il LockerGoga ransomware.
Norsk Hydro segna la seconda maggiore società infettato da LockerGoga ransomware dopo che il malware è stato anche trovato in rete di Altran Technologies, un tecnico francese, una società di consulenza a fine gennaio.
Mentre la maggior parte infosec esperti della classificazione del LockerGoga ransomware infezione come un crimine informatico incidente collegato, con i truffatori che cercano di estorcere denaro da un hacked società, c’è anche un’altra teoria lentamente prendendo forma.
Tale teoria si basa su un post sul blog di cyber-sicurezza ditta Cisco Talos, che ha evidenziato alcuni LockerGoga caratteristiche specifiche per tergicristallo (distruttiva) di malware, piuttosto che ransomware. Alcuni ricercatori di sicurezza sono ora guardando il Norsk Hydro attacco come stato-nazione gruppo di hacker che ho notato che non era stato rilevato e ha deciso di mascherare la loro presenza, attraverso la distribuzione di LockerGoga Idro rete, in un tentativo di ingannare l’incidente, i soccorritori. Tuttavia, questa è solo una teoria, senza prove a sostegno, che, principalmente, ha preso forma dopo l’altra società norvegese, fornitore di servizi cloud Visma, ha ammesso il mese scorso di ottenere hacked da stato Cinese hacker.
Più ransomware di copertura:
Contea di Georgia paga ben 400.000 dollari per sbarazzarsi di un ransomware infectionRansomware: Un esecutivo a guida di una delle più grandi minacce sul webPewDiePie fan di continuare a fare spazzatura ransomwareAluminum produttore di interruttori per operazioni manuali dopo ransomware infezione
Polizia Federazione colpito da ransomware attackAvast e Emsisoft rilasciare gratuitamente decrypters per BigBobRoss ransomwareNew ransomware richieste di pagamento su WeChat Pagare in Cina CNET
Ransomware: Un cheat sheet per i professionisti TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati