Заказать звонок
Вход в Личный кабинет

Специалисты «Лаборатории Касперского» предполагают, что Norsk Hydro атаковал шифровальщик LockerGoga

 

В результате атаки пострадали как офисные, так и технологический процессы. Из-за чего часть производственных систем были заблокированы. Это вызвало сбои в производстве и временную остановку технологического процесса.

19 марта один из крупнейших мировых производителей алюминия, норвежская металлургическая компания Norsk Hydro, объявила об атаке программы-вымогателя, которая началась 18 марта и привела к сбою в работе производственных объектов в нескольких странах, включая Норвегию, Катар и Бразилию.

Инцидент

 

По заявлению представителей Norsk Hydro, инцидент не представляет угрозы жизням сотрудников и не затронул работу электростанций, ИТ-системы которых являются изолированными. Представители компании не уточнили, какое именно ПО попало в сеть предприятия. Точное количество зараженных компьютеров также не названо.

 

LockerGoga

По информации специалистов «Лаборатории Касперского», компания Norsk Hydro стала жертвой шифровальщика LockerGoga.

LockerGoga – это недавно появившееся семейство шифровальщиков. Троянец написан на С++ с использованием библиотек Boost и CryptoPP. Для шифрования файлов используется гибридная схема AES + RSA-1024, зашифрованные файлы получают дополнительное расширение .locked.

Для заражения сети Norsk Hydro предположительно могла быть использована скомпрометированная учетная запись с правами администратора. С помощью нее вредоносный дистрибутив мог быть размещен в папке Netlogon, к которой имеют доступ все компьютеры корпоративной сети. После этого злоумышленникам достаточно настроить групповую политику таким образом, чтобы все компьютеры и серверы запустили вредоносный файл с максимальными привилегиями. Такой способ позволяет LockerGoga быстро распространиться по сети без самокопирования. Кроме того, благодаря использованию службы Active Directory злоумышленники обходят корпоративные брандмауэры.

Первоначальный вектор заражения вредоносным ПО LockerGoga неизвестен. Согласно исследованиям группы Cisco Talos, для заражения сети злоумышленники могут использовать самые разнообразные методы, включая эксплуатацию уязвимостей и фишинг, направленный на получение учетных данных пользователей. Более ранние образцы LockerGoga шифровали данные жертвы и затем отображали запись с требованием выкупа в биткойнах, более поздние экземпляры вредоносного ПО помимо шифрования файлов вызывали принудительный выход пользователя из зараженной системы и исключали возможность повторного входа в систему. В таких случаях жертвы даже не имели возможности увидеть сообщение с требованием выкупа. Такие версии LockerGoga могут быть отнесены к деструктивным программам типа Wiper.

Атакам какой версии LockerGoga подверглась компания Norsk Hydro, на данный момент неизвестно. Однако по словам представителей компании сеть была заражена программой-вымогателем (ransomware).

Norsk Hydro принимает меры по нейтрализации атаки и ограничению ее последствий. В частности, сотрудников компании просили не включать компьютеры и не присоединять к корпоративной сети съемные устройства, в том числе смартфоны и электронные ключи Touch Memory. Для восстановления штатного функционирования сети предприятия специалисты Norsk Hydro используют имеющиеся резервные копии.

Выводы

Несмотря на то, что расследование инцидента продолжается, уже сейчас можно сделать ряд выводов о возможных причинах инцидента и факторах, оказавших влияние на масштабы его последствий.

Одной из вероятных причин столь масштабного заражения является отсутствие сегментирования сети. Должным образом организованное сегментирование не допустило бы столь масштабного распространения вредоносной программы и позволило сдержать атаку.

Еще одним фактором стремительного распространения вредоносного ПО могла послужить компрометация учетной записи с правами администратора, связанная, например, с реализованной ранее фишинговой атакой.

Кроме того, факт заражения вредоносным ПО свидетельствует о недостаточной надежности используемого на предприятии средства антивирусной защиты или об отсутствии актуальных обновлений антивирусных баз. Несмотря на то, что вымогатель LockerGoga является достаточно новой угрозой, он уже хорошо известен и успешно детектируется ведущими производителями антивирусных решений. Продукты «Лаборатории Касперского» детектируют это семейство с вердиктом Trojan-Ransom.Win32.Crypren.*

Несмотря на значительный масштаб инцидента следует также отметить положительные факторы, которые оказывают благоприятное влияние на минимизацию последствий от инцидента. К ним относятся:

  • Оперативное реагирование на инцидент, в результате чего зараженные установки были быстро изолированы.
  • Оперативный перевод технологического процесса на заводах, подвергшихся атаке, в ручной режим, что позволило продолжить работу предприятий.
  • Изоляция производственных сетей электростанций от корпоративной сети, что предотвратило их заражение.
  • Наличие резервных копий, которые должны позволить компании восстановить заблокированные данные.

 

Источник: Лаборатория Касперского