×
steel-factory-plant.jpg
Efter lider af en invaliderende ransomware angreb på tirsdag i denne uge, aluminium producent Norsk Hydro er langsomt begyndt at komme fra hændelsen.
“Eksperter fra Microsoft og andre IT-sikkerhed partnere, der har fløjet i at støtte Vandkraft i at tage alle nødvendige foranstaltninger i en systematisk måde at få forretningskritiske systemer tilbage i normal drift,” Jo De Vliegher, Leder af informationssystemer, sagde i en pressemeddelelse i denne uge.
Selskabets Chief Financial Officer (CFO), Eivind Kallevik, sagde også, at virksomheden ikke ønsker at betale de hackere’ løsesum efterspørgsel og er allerede begyndt at genoprette sin IT infrastruktur ud fra sikkerhedskopier.
Alt i alt hændelsen er blevet beskrevet som katastrofal af Hydro embedsmænd. Ransomware påvirket Norsk Hydro ‘ s produktion og kontor IT-systemer.
I hændelsen efterspil, systemer, at styret produktionsudstyr havde deres data, der er krypteret og ikke er tilsluttet virksomhedens netværk, forebyggelse af Norsk Hydro medarbejdere fra forvaltningen fabrikken udstyr.
Virksomheden skiftede til manuel drift, som ikke påvirke produktionen, men gjorde bremse fabrik resultater og førte til nogle midlertidige driftsstop, som ansatte har fundet ud af den bedste måde at gå om deres arbejde.
Men den største effekt var på Norsk Hydro ‘ s kontor for IT-infrastruktur. I to pressemøder, der blev afholdt tirsdag og torsdag, Kallevik sagde, at der ikke har adgang til kundernes ordrer var den største hurdle, de havde at gøre med at holde produktionslinjer i gang.
Planter i Europa og USA var de mest påvirket, Kallevik sagde, og især de afdelinger, der producerer ekstruderede og valset aluminium produkter. I disse fabrikker, medarbejdere havde problemer med at oprette forbindelse til produktion af udstyr, i henhold til en status opdatering der er fastsat i går, og hyppige standsninger og produktionen genstarter opstod.
Imge: Norsk Hydro
×
norsk-hydro-status.png
Den Norsk Hydro exec afviste at give detaljer om hændelsen i sig selv, med henvisning til en igangværende retshåndhævelse undersøgelse.
Men nok oplysninger er lækket på internettet fra andre kilder for nogle meget plausible teorier og forklaringer på, hvad der skete inde Norsk Hydro at dukke op –som en fra infosec ekspert Kevin Beaumont.
Baseret på ransomware prøver uploadet på aggregerede malware scanner service VirusTotal, og er baseret på en analyse af de funktioner, der findes i de prøver, Norsk Hydro hændelse synes at være sket efter hackere overtrådt virksomhedens netværk og bevæget lateralt, indtil de har fået adgang til en Active Directory-server.
Beaumont siger LockerGoga ransomware mangler self-analyser af formerings-funktioner, der findes i WannaCry, NotPetya, eller Dårlig Kanin, og den eneste måde, så mange Norsk Hydro anlæg kunne have været påvirket på samme tid, var, hvis hackere har anvendt selskabets centrale Active Directory-server til at skubbe ransomware at alle af Norsk Hydro ‘ s arbejdsstationer på samme tid.
Den Britiske forsker også bemærkes, at LockerGoga ransomware blev også kodet til at arbejde meget hurtigt, at udnytte “hver CPU-kerne og tråd under kryptering.”
“På en gennemsnitlig system inden for et par minutter, det er toast,” sagde han i en analyse, han offentliggjorde i går.
Hertil kommer, at den ransomware også handicappede netværkskort på alle inficerede systemer og ændrede den lokale admin konto ‘ s adgangskode. Begge operationer var gjort for at forhindre, at nyttiggørelse, såsom at skubbe ud af sikkerhedskopier fra en ekstern server til hurtigt at gendanne de inficerede systemer.
På grund af dette, sikkerhedskopier skal sættes ind manuelt, med hånden, at de enkelte berørte PC.
Det eneste, Hydro medarbejdere kunne gøre efter ransomware blev indsat, var at bruge deres lokale non-admin konti for at logge ind på den inficerede arbejdsstation, hvor de ville se den LockerGoga løsesum bemærk åbnet på deres skærme.
Billede: Kevin Beaumont
×
lockergoga.png
Beaumont ‘ s (veldokumenterede) teori om, hvad der kunne være sket inde Hydro på, at dagen kan blive lidt bekræftet af en sikkerhedsadvarsel sendt ud af Norge Computer Emergency Response Team (NorCERT) på dagen for hændelsen, advarsel virksomheder om angreb foretaget via Active Directories med LockerGoga ransomware.
Norsk Hydro markerer den anden store virksomhed, der er smittet med LockerGoga ransomware efter malware blev også fundet på nettet af Altran-Teknologier, som er en fransk teknik konsulentfirma, i slutningen af januar.
Mens de fleste infosec er eksperter i at klassificere de LockerGoga ransomware infektion som en cyberkriminalitet-relateret hændelse, med skurke, der forsøger at presse penge fra en hacket selskab, der er også en anden teori langsomt at tage form.
Denne teori er baseret på et blog-indlæg af cyber-sikkerhed, virksomheden Cisco Talos, der fremhævet nogle LockerGoga funktioner, der er specifikke for wiper (destruktive) malware, snarere end ransomware. Nogle sikkerhedspolitiske forskere er nu kigger på den Norsk Hydro angreb som en nation-stat hacker gruppe, der bemærkede, at det var blevet opdaget og besluttede sig for at skjule deres tilstedeværelse ved at indsætte LockerGoga på Hydro ‘ s netværk, i et forsøg på at narre hændelse respondenter. Dette er dog kun en teori, med ingen dokumentation, som primært tog form efter den anden norske selskab, cloud-leverandør Visma, indrømmede i sidste måned for at blive hacket af statslige Kinesiske hackere.
Mere ransomware dækning:
Georgien county betaler en kæmpestor $400,000 til at slippe af med en ransomware infectionRansomware: executive-guide til en af de største trudsler om webPewDiePie fans med at lave junk ransomwareAluminum producent skifter til manuel drift efter ransomware infektion
Politiet Forbund ramt af ransomware attackAvast og Emsisoft slippe fri decrypters for BigBobRoss ransomwareNew ransomware kræver betaling over WeChat Betaler i Kina CNET
Ransomware: Et cheat sheet for fagfolk, TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre