Hydro ble natt til tirsdag 19. mars utsatt for et større cyber-angrep i form av løsepengevirus. Målet kan ha vært å presse Hydro for penger, men det egentlige målet kan også ha vært å sabotere bedriften. Hydro måtte bytte over til manuelle rutiner i produksjonsprosessene der dette var mulig. Det var malwaren LockerGoga som brukt, en relativt enkel malware som ikke har nettverkskommunikasjon. Den må derfor manuelt kopieres til klienter og servere i bedriften som angripes. I Hydros tilfelle ble dette gjort ved at angriperne fikk tilgang til deres Active Directory server. Herfra hadde angriperne full kontroll over nettverket. Det er usikkert hvem som står bak angrepet. Mot slutten av måneden opplyste Hydro at cyberangrepet kan komme til å koste dem opp mot 350 millioner kroner.
Beskrivelsen er hentet ut i fra Telenor TSOC blogg.
https://telenorsoc.blogspot.com/2019/04/
Kommentarer til dette angrepet:
Den 19 mars 2019 så skjedde det et angrep mot Norsk Hydro som er interessant av mange grunner. Angrepet hadde en meget avansert og sofistikert gjennomføring, det fikk store praktiske og økonomiske konsekvenser og det var et angrep som var rettet mot en teknologibedrift. Angrepet var rettet både mot selskapets administrative systemer og selskapets styringssystemer for teknisk produksjon. Begge deler ble ødelagt og satt ut av spill.
Angrepet mot Norsk Hydro er også interessant av en annen grunn. Selv om det også finnes mange forskjeller, så har angrepet en hel del til felles med et senere angrep rettet mot Østre Toten Kommune.
I begge tilfeller så klarte man å ta kontroll over et stort antall Windows PC’er og servere ved å kompromittere og ta kontroll over Windows Active Directory Domain controller, slik at man kunne bruke dette som et utgangspunkt for et angrep mot datanettverket som helhet.
I begge tilfeller så dreide det seg om “manuell hacking” og altså ikke bare et automatisert angrep men manuelle gjennomførte angrep der det må ha tatt ganske mange arbeidstimer å gjennomføre dette angrepet. Angrepet mot Norsk Hydro er vel også på mange måter en praktisk demonstrasjon av det som man kaller for “The Cyber Kill Chain“.
I begge tilfeller så dreide det seg også om å stenge ned og kryptere organisasjonens Windows arbeidsstasjoner og servere og å framsette krav om løsepenger for å “låse opp” datafilene.
Det er en vesentlig stor forskjell mellom disse to angrepene. I tilfellet Norsk Hydro så ble det utviklet ny og fram til da ukjent ransomware. Det var derfor nokså vanskelig å oppdage dette angrepet før det skjedde. I angrepet mot Østre Toten Kommune så brukte man “gammel” ransomware som var kjent fra før. Her var Østre Toten Kommune “et offer i rekken”.
I begge tilfeller så nektet man å etterkomme kravet om løsepenger og man valgte i stedet å gjenopprette systemene manuelt ut i fra de kostnadene som det medførte.
Artikler på web:
Jeg har samlet sammen noen linker som gir litt mer informasjon om dette angrepet:
- Security Boulevard 1
- Security Boulevard 2
- NRK – Nyheter
- TU – Artikkel
- Digi.no – Artikkel
- Dagenes Næringsliv – Artikkel
- Stavanger Aftenblad – Artikkel
- Dagens Perspektiv
- E24 – Artikkel
- NSM – Temerapport Løsepengevirus
- TrendMicro – Lockergaga Ransomware
- Infradata – Lockergaga Ransomware
- Forcepoint – Lockergaga Ransomware
- Malwarebytes – Lockergaga Ransomware
- Wired – Lockergaga Ransomware
- Cybersecurity Insiders