Aluminiumsmelter Norsk Hydro getroffen door LockerGoga malware

In een industrieel netwerk moet niet alleen voorkomen worden dat speciale malware-varianten zoals Industroyer, Stuxnet, Triton en dergelijke binnenkomen, maar óók de ‘gewone’ malware-varianten die op pc’s werken. Vorige week merkten een aantal industriële bedrijven dit, waaronder aluminiumsmelter Norsk Hydro.

LockerGoga kwam waarschijnlijk als attachment bij een e-mail binnen, en iemand heeft erop geklikt. Dat is op zich al fout, een goede cyberhygiëne eist dat nooit zomaar attachments geopend moeten worden. Een andere hypothese is dat de hackers binnenkwamen via eerder gelekte wachtwoorden. Eenmaal binnen vroeg LockerGoga daarna om toestemming om als systeembeheerder te mogen draaien via een pop-up scherm waar dus iemand op ‘ja’ geklikt heeft. Daarna ging de malware aan de slag. Door de ongebruikelijk hoge activiteit op de servers laat op de avond kwam het systeembeheer erachter dat er iets aan de hand was. Maar het was al te laat, wereldwijd waren vestigingen getroffen door de malware die bestanden onbruikbaar gemaakt heeft door ze te encrypten. Door een losgeld in bitcoins te betalen zou Norsk de bestanden weer terug kunnen krijgen. Uiteraard had dit consequenties voor de productie, die op een lager pitje handmatig kon worden uitgevoerd. Office365 was niet getroffen door de malware.

Een paar dagen later kwam in het nieuws dat nog twee industriële bedrijven getroffen waren: Hexion en Momentive. Hier is wel de gehele IT-infrastructuur uitgevallen. Dat bemoeilijkt de interne communicatie enorm. Volgens de CEO van Momentive: ‘we kopen wel een paar honderd nieuwe pc’s’.

Opvallend aan LockerGoga is dat het zichzelf niet verspreidde naar andere pc’s, maar toch een bedrijf wereldwijd kon infecteren. Dit liep via een standaard Windows functionaliteit genaamd ‘Active Directory’ (AD), die in bedrijfsnetwerken voorkomt. Zoals de naam al aangeeft, is het een soort van register, in dit geval de software om centraal rechten en instellingen van gebruikers in een organisatie te beheren. Deze worden in een database opgeslagen. Een netwerk kan uit enkele pc’s bestaan, maar ook uit tienduizenden. Verder kan met AD automatisch software geïnstalleerd worden, evenals patches. Door gebruik te maken van AD heeft LockerGoga geen ‘spreader’ functie nodig, maar kan met AD wel een heel bedrijfsnetwerk door (veel firewalls laten dit standaard door). Daarna zette LockerGoga de antivirus uit.

De LockerGoga malware is niet nieuw. Eerder dit jaar werd al bekend dat het Franse ingenieursbureau Altran er door getroffen was, ook de Nederlandse vestiging. Ook de cyberaanval op Budel Zink is waarschijnlijk met LockerGoga uitgevoerd. Het is geen malware die gemaakt is om OT-omgevingen aan te vallen, maar dat wil dus niet zeggen dat men er geen last van kan hebben.

Wie er achter deze malware zit, is niet bekend. De malware is niet erg slim gemaakt, en doet geen poging zichzelf te verbergen. Norsk Hydro gaf direct aan geen cent losgeld te gaan betalen. Maar misschien hoeft dit ook niet eens, de aluminiumprijs steeg met 2%, en de aandelenkoers daalde tijdelijk met 3.4%. Als de hacker(s) zich op de beurs goed voorbereid hebben zou men een veelvoud van de gewenste bitcoins hebben kunnen verdienen.

Opvallend is dat Norsk Hydro veel openheid van zaken gaf, dit in tegenstelling tot de andere genoemde bedrijven. Op hun Facebook-kanaal werd veel informatie gegeven welke delen van het bedrijf wel/niet getroffen waren, en indien wel, in welke mate. Een nieuwe website werd opgetuigd met daarin ook informatie over de aanval en de bestrijding ervan. Hulp van de Noorse overheid en Microsoft werd ingeroepen. Verloren gegane bestanden worden hersteld uit een back-up. Blijkbaar had de markt vertrouwen in de crisisafhandeling; de beurskoers was uiteindelijk hoger dan vóór de aanval.

Rob Hulsebos

Advertisment ad adsense adlogger