Атака шифровальщика на металлургическую компанию Norsk Hydro

19 марта один из крупнейших мировых производителей алюминия, норвежская металлургическая компания Norsk Hydro, объявила об атаке программы-вымогателя, которая началась 18 марта и привела к сбою в работе производственных объектов в различных странах, включая Норвегию, Катар и Бразилию.

Инцидент

По информации, предоставленной на пресс-конференции, заражение вымогателем было обнаружено представителем службы безопасности Norsk Hydro в ночь с 18 на 19 марта. Тогда же были предприняты первые попытки предотвратить дальнейшее распространение вредоносного ПО. Однако зловред успел заразить ИТ-системы во всей распределенной сети Norsk Hydro.

В результате атаки пострадали как офисные, так и технологический процессы. Так, заражению подверглись промышленные сети нескольких прокатных и экструзионных производств, из-за чего часть производственных систем были заблокированы. Это вызвало сбои в производстве и временную остановку технологического процесса.

Недоступным стал и веб-сайт Norsk Hydro.

Представители компании не уточнили, какое именно ПО попало в сеть предприятия. Точное количество зараженных компьютеров также не названо. По заявлению представителей Norsk Hydro, инцидент не представляет угрозы жизням сотрудников и не затронул работу электростанций, ИТ-системы которых являются изолированными.

Расследование инцидента ведется совместно с Национальной службой безопасности Норвегии.

LockerGoga

По информации специалистов центра NorCERT, компания Norsk Hydro стала жертвой шифровальщика LockerGoga. В январе 2019 года атаке этого зловреда подверглась французская фирма Altran Technologies.

LockerGoga – это недавно появившееся семейство шифровальщиков. Троянец написан на С++ с использованием библиотек Boost и CryptoPP. Для шифрования файлов используется гибридная схема AES + RSA-1024, зашифрованные файлы получают дополнительное расширение .locked.

Для заражения сети Norsk Hydro предположительно могла быть использована скомпрометированная учетная запись с правами администратора. С помощью нее вредоносный дистрибутив мог быть размещен в папке Netlogon, к которой имеют доступ все компьютеры корпоративной сети. После этого злоумышленникам достаточно настроить групповую политику таким образом, чтобы все компьютеры и серверы запустили вредоносный файл с максимальными привилегиями. Такой способ позволяет LockerGoga быстро распространиться по сети без самокопирования. Кроме того, благодаря использованию службы Active Directory злоумышленники обходят корпоративные брандмауэры.

Первоначальный вектор заражения вредоносным ПО LockerGoga неизвестен. Согласно исследованиям группы Cisco Talos, для заражения сети злоумышленники могут использовать самые разнообразные методы, включая эксплуатацию уязвимостей и фишинг, направленный на получение учетных данных пользователей. Более ранние образцы LockerGoga шифровали данные жертвы и затем отображали запись с требованием выкупа в биткойнах, более поздние экземпляры вредоносного ПО помимо шифрования файлов вызывали принудительный выход пользователя из зараженной системы и исключали возможность повторного входа в систему. В таких случаях жертвы даже не имели возможности увидеть сообщение с требованием выкупа. Такие версии LockerGoga могут быть отнесены к деструктивным программам типа Wiper.

Аткам какой версии LockerGoga подверглась компания Norsk Hydro, на данный момент неизвестно. Однако по словам представителей компании сеть была заражена программой-вымогателем (ransomware).

Norsk Hydro принимает меры по нейтрализации атаки и ограничению ее последствий. В частности, сотрудников компании просили не включать компьютеры и не присоединять к корпоративной сети съемные устройства, в том числе смартфоны и электронные ключи Touch Memory. Для восстановления штатного функционирования сети предприятия специалисты Norsk Hydro используют имеющиеся резервные копии.

В настоящее время (21 марта) все установки изолированы, распространение зловреда в сети компании остановлено. Однако часть технологических операций до сих пор осуществляется в ручном режиме.

Выводы

Несмотря на то, что расследование инцидента продолжается, уже сейчас можно сделать ряд выводов о возможных причинах инцидента и факторах, оказавших влияние на масштабы его последствий.

Одной из вероятных причин столь масштабного заражения является отсутствие сегментирования сети. Должным образом организованное сегментирование не допустило бы столь масштабного распространения вредоносной программы и позволило сдержать атаку.

Еще одним фактором стремительного распространения вредоносного ПО могла послужить компрометация учетной записи с правами администратора, связанная, например, с реализованной ранее фишинговой атакой.

Кроме того, факт заражения вредоносным ПО свидетельствует о недостаточной надежности используемого на предприятии средства антивирусной защиты или об отсутствии актуальных обновлений антивирусных баз. Несмотря на то, что вымогатель LockerGoga является достаточно новой угрозой, он уже хорошо известен и успешно детектируется ведущими производителями антивирусных решений. Продукты «Лаборатории Касперского» детектируют это семейство с вердиктом Trojan-Ransom.Win32.Crypren.*

Несмотря на значительный масштаб инцидента следует также отметить положительные факторы, которые оказывают благоприятное влияние на минимизацию последствий от инцидента. К ним относятся:

• Оперативное реагирование на инцидент, в результате чего зараженные установки были быстро изолированы.
• Оперативный перевод технологического процесса на заводах, подвергшихся атаке, в ручной режим, что позволило продолжить работу предприятий.
• Изоляция производственных сетей электростанций от корпоративной сети, что предотвратило их заражение.
• Наличие резервных копий, которые должны позволить компании восстановить заблокированные данные.
• Наличие у компании Norsk Hydro страхования кибер-рисков, которое должно покрыть некоторые расходы, связанные с инцидентом.