Aluminiumgigant Hydro slachtoffer van ransomware

maart 25, 2019

Gedurende de afgelopen jaren hebben we het gehad over meerdere incidenten waarbij verschillende organisaties, zoals ziekenhuizen, openbaar vervoer, of zelfs overheidscomputers van een gehele provincie, zijn aangevallen door ransomware. Daarna kwam het tijdperk van de wipers, met de wereldwijde verspreiding van epidemieën zoals WannaCry, ExPetr, en Bad Rabbit waarbij talloze bedrijfshandelingen verstoord werden.

Gelukkig hebben we niet zo’n grootschalige gebeurtenis meegemaakt de afgelopen 12 maanden, maar de reden hiervoor is niet dat de cybercriminelen het zouden hebben opgegeven. Op 19 maart kondigde de Noorse productiegigant van aluminium Hydro aan dat het was aangevallen door ransomware en waarbij het hele bedrijf was aangetast.

De aanval op Hydro: de gebeurtenissen

Het veiligheidsteam van Hydro kreeg rond middernacht lucht van verdachte handelingen op de bedrijfsserver, vertelde de vertegenwoordiger van Hydro tijdens de persconferentie. Ze zagen dat de infectie zich verspreidde en grepen in. Ze slaagden er slechts gedeeltelijk in om de verspreiding te stoppen; tegen de tijd dat ze de centrale hadden geïsoleerd, was het globale netwerk al besmet. Hydro deed geen uitspraken over het aantal geraakte computers, maar met 35.000 werknemers, kan aangenomen worden dat het gaat om een groot aantal.

Het team van Hydro werkt 24/7 om de gevolgen van het incident te beperken en ze zijn er op zijn minst gedeeltelijk in geslaagd. De elektriciteitscentrales waren niet geraakt, omdat ze los staan van het hoofdnetwerk, wat een van de beste praktijken is voor kritieke infrastructuur. Maar de kopersmelterij kon niet geïsoleerd worden; gedurende de laatste jaren werden ze steeds vaker geautomatiseerd. En dus werden enkele van de kopersmelterijen in Noorwegen aangevallen, en het team sloeg erin om een aantal ervan weer in werking te krijgen, hoewel in een langzamere en semihandmatige modus. In de woorden van Hydro: “het niet kunnen verbinden met de productiesystemen zorgde voor uitdagingen in het productieproces en het tijdelijk stilliggen van verschilde centrales. ”

Ondanks de omvang van de aanval, werden niet alle handelingen van Hydro aangetast. Hoewel de Windows-machines geëncrypteerd werden en onbruikbaar waren gemaakt, bleven de telefoons en tablets die niet op Windows werken, bruikbaar, waardoor de werknemers met elkaar in contact konden blijven en aan zakelijke behoeften konden voldoen. De dure kritieke infrastructuur zoals baden voor de productie van aluminium, die ongeveer € 10 miljoen per stuk kosten, lijken niet te zijn aangetast door de aanval. Het veiligheidsincident heeft de veiligheid niet in gevaar gebracht en niemand liep schade op door de aanval. Daarbij komt kijken dat Hydro hoopt op volledig herstel via back-ups.

Analyse: Wat ging goed en wat ging verkeerd

Hydro heeft waarschijnlijk nog een lange weg te gaan alvorens alles is hersteld, en zelfs het onderzoek naar het incident, uitgevoerd door Hydro en de Noorse autoriteiten, zal langer duren dan aanvankelijk verwacht. Vooralsnog is er geen overeenstemming over welke ransomware er voor de aanval gebruikt is en wie erachter zit.

De autoriteiten vermenen verschillende hypothesen te hebben. Een ervan is dat Hydro werd aangevallen door LockerGoga-ransomware, die door Bleeping Cumputer wordt omschreven als “traag” (onze analisten zijn het hiermee eens) en “slordig”, en hieraan wordt toegevoegd dat het “geen moeite doet om opsporing te vermijden”. In het ransomware-bericht stond niet hoeveel de misdadigers wilden voor het decrypteren van de computers, maar er stond een contactadres in vermeld voor de slachtoffers.

Hoewel de analyse van dit incident nog niet is afgerond, kunnen we het hebben over wat Hydro goed en fout heeft gedaan, tijdens en vóór het incident.

Goed:

  1. De elektriciteitscentralen werden geïsoleerd van het hoofdnetwerk, waardoor deze niet werden aangetast.
  2. Het veiligheidsteam sloeg er nogal snel in om de kopersmelterijen te isoleren, waardoor deze in werking konden blijven (de meeste in semi-handmatige modus).
  3. Werknemers konden gewoon met elkaar in contact blijven, zelfs na het incident, wat betekent dat de communicatieserver kennelijk goed genoeg beschermd was en niet door de infectie aangetast.
  4. Hydro heeft back-ups waarmee de geëncrypteerde data hersteld zouden moeten kunnen worden.
  5. Hydro heeft een cyberverzekering waarmee een deel van de kosten van het incident gedekt zouden kunnen worden.

Verkeerd:

  1. Het netwerk was blijkbaar niet goed gesegmenteerd, anders zou het veel makkelijker zijn geweest om de ransomware tegen te houden en de aanval te voorkomen.
  2. De veiligheidsoplossing die Hydro gebruikte was niet robuust genoeg om de ransomware op te sporten (ondanks het feit dat het relatief nieuw is, is LockerGaga nogal bekend bij bijvoorbeeld Kaspersky Security als Trojan-Ransom.Win32.Crypgen.afbf).
  3. De veiligheidsoplossing had in combinatie met antiransomware-software gebruikt kunnen worden, zoals onze gratis Kaspersky Anti-Ransomware Tool, die naast andere veiligheidsoplossingen geïnstalleerd kan worden en die in staat is het systeem te beschermen tegen allerlei soorten ransomware, miners en andere narigheden.