Ransomware LockerGoga sparaliżował światowego producenta aluminium

Systemy informatyczne międzynarodowego producenta aluminium Norsk Hydro zostały 18 marca zaatakowane przez znany od niedawna rodzaj ransomware o nazwie "LockerGoga". Złośliwe oprogramowanie sparaliżowało działanie firmy, która swoje oddziały ma także w Polsce.Pracownicy części zakładów musieli przejść w tryb ręcznego sterowania.

Badacze z laboratorium F-Secure Labs ustalili, że złośliwe oprogramowanie LockerGoga zmienia hasło użytkownika na "HuHuHUHoHo283283@dJD". Następnie wylogowuje go i wymaga podania nowego hasła. Po uzyskaniu uprawnień administratora, szyfruje pliki dodając im rozszerzenie ".locked". Na pulpicie pojawia się notatka README_LOCKED.TXT, z żądaniem okupu za odszyfrowanie danych.

Tom Van de Wiele, główny konsultant ds. bezpieczeństwa w F-Secure, wskazuje:

Atak na międzynarodową firmę przemysłową może nieść konsekwencje nie tylko gospodarcze, ale i polityczne.Złośliwe oprogramowanie typuransomware zazwyczaj jest dla przestępców sposobem na szybki zarobek. Może jednak zostać użyte jako zasłona dymna, która odwróci uwagę od ukierunkowanego ataku o bardziej dotkliwych skutkach.

Prawie połowa (47%) cyberataków wymierzonych w branżę przemysłową to kradzież własności intelektualnej w celu zyskania przewagi konkurencyjnej. 53% ataków dokonują przy tym podmioty powiązane z rządami państw.

Wyzwaniem wśród producentów jest łączenie systemów IT z automatyką przemysłową (ang. Operational Technology, OT). Zwiększanie przepływu danych pomiędzy nimi naraża maszyny i całe procesy produkcyjne na cyberzagrożenia. Wiele systemów OT nie posiada zabezpieczeń, gdyż powstały przed pojawieniem się obecnie znanych cyberzagrożeń. Aktualizacje nie zawsze są możliwe, ponieważ wiele systemów musi działać przez całą dobę. System warty miliony i zaprojektowany na dziesięciolecia pracy nie może w łatwy sposób zostać zastąpiony nowym – nawet jeśli uzna się go za zagrożony.

NorskHydro to międzynarodowe zakłady przemysłowe, z którymi współpracuje duża liczba dostawców usług. Źródłem naruszenia może być luka w systemie firmy lub zewnętrznej sieci dostawcy. Niewykluczone również, że jeden z pracowników otrzymał e-mail ze złośliwym załącznikiem.Z pewnością zawiodła jednak odpowiednia separacja systemów informatycznych od produkcyjnych – wskazuje Tom Van de Wiele.

W ostatnim czasie ransomware tracił na znaczeniu – liczba nowych zagrożeń tego typu spadła z prawie 350 tys. końcem 2017 roku do około 64 tys. w I kw. 2018 roku. Doniesienia związane z Norsk Hydro mogą świadczyć jednak o bardziej przemyślanym dobieraniu celów przez cyberprzestępców. Dlatego sprawdź, jakie oprogramowanie antywirusowe zyskało najlepsze wyniki w naszym rankingu TOP 10 antywirusów 2019.