Norsk Hydro, een Noors energie- en aluminiumproducent , is getroffen door een ransomware-aanval, die het wereldwijde netwerk heeft platgelegd. Bovendien zijn ook alle installaties stopgezet of verstoord. Volgens onderzoeker Kevin Beaumont gaat het om LockerGoga, een ransomeware die niet afhankelijk is van het gebruik van netwerkverkeer, domeinnaamsysteem of command- en control-servers, aldus ArsTechnica.
Deze onafhankelijkheid maakt het voor LockerGoga mogelijk om veel netwerkverdedigingen te omzeilen. Computers in de VS werden maandagavond als eerste getroffen, maar al snel werden ook andere delen van het bedrijf in ruim veertig landen getroffen. Norsk Hydro stopte waar mogelijk direct de productie of schakelde over op de handmatige modus. Alle ruim 35.000 medewerkers kregen de instructie hun computers uitgeschakeld te houden en de werkzaamheden eventueel voort te zetten via hun telefoons of tablets.
“De situatie voor Norsk Hydro is hierdoor behoorlijk ernstig. Het hele wereldwijde netwerk is uitgevallen, wat zowel onze productie als onze kantooractiviteiten beïnvloedt. We werken er hard aan om deze situatie in toom te houden en op te lossen en om de veiligheid en beveiliging van onze werknemers te waarborgen. Onze belangrijkste prioriteit is nu om veilige operaties te garanderen en de operationele en financiële impact te beperken”, aldus Eivind Kallevik, CFO van Norsk Hydro.
Ransomnote
De verantwoordelijke criminelen hadden hun aanval voorzien van een begeleidend schrijven:
“Er zat een aanzienlijke fout in het beveiligingssysteem van uw bedrijf. U zou dankbaar moeten zijn dat de fout werd uitgebuit door serieuze mensen en niet door een paar rookies. Ze zouden per ongeluk of voor het plezier al je gegevens hebben beschadigd. Uw bestanden zijn gecodeerd met de krachtigste militaire algoritmen RSA4096 en AES-256. Zonder onze speciale decoder is het onmogelijk om die gegevens te herstellen. Pogingen om uw gegevens te herstellen met software van derden, zoals bijvoorbeeld Photorec en RannohDecryptor zullen leiden tot onomkeerbare vernietiging van uw gegevens.”
De hackers boden ook nog bestanden aan om de maleware te ontsleutelen en vroegen een onbekend bedrag in bitcoin.
Norsk Hydro laat weten dat het merendeel van de fabrieken normaal functioneert, maar door het afsluiten van het netwerk kunnen er geen nieuwe bestellingen worden aangenomen. Voor nu zijn de verliezen minimaal, maar die kunnen wel toenemen als de geautomatiseerde systemen niet snel worden hersteld. IT -teams zouden momenteel werken aan het verwijderen van de ransomware, waarna eventueel verloren gegevens hersteld zullen worden met behulp van bedrijfsback-upsystemen.
Altran, Bleeping Computer
Hoe lang deze operatie gaat duren is niet bekend, wel dat Norsk Hydro zou weigeren om het losgeld te betalen. Het aandeel Norsk Hydro daalde ongeveer 0,7 procent nadat de infectie bekend werd. De Noorse nationale veiligheidsautoriteit bevestigt niet dat Norsk Hydro geïnfecteerd is door LockerGoga, maar benoemt het wel als ‘een van de theorieën’. Dezelfde ransomware is mogelijk ook twee maanden geleden gebruikt om systemen van het Franse ingenieursbureau Altran, Bleeping Computer plat te leggen.