Systemy informatyczne międzynarodowego producenta aluminium Norsk Hydro zostały 18 marca zaatakowane przez znany od niedawna rodzaj ransomware[1] o nazwie LockerGoga. Złośliwe oprogramowanie sparaliżowało działanie firmy, która swoje oddziały ma także w Polsce. Pracownicy części zakładów musieli przejść w tryb ręcznego sterowania.
Badacze z laboratorium F-Secure Labs ustalili, że złośliwe oprogramowanie LockerGoga zmienia hasło użytkownika na „HuHuHUHoHo283283@dJD”. Następnie wylogowuje go i wymagaja podania nowego hasła. Po uzyskaniu uprawnień administratora szyfruje pliki dodając im rozszerzenie „.locked”. Na pulpicie pojawia się notatka README_LOCKED.TXT, z żądaniem okupu za odszyfrowanie danych.
– Atak na międzynarodową firmę przemysłową może nieść konsekwencje nie tylko gospodarcze, ale i polityczne. Złośliwe oprogramowanie typu ransomware zazwyczaj jest dla przestępców sposobem na szybki zarobek. Może jednak zostać użyte jako zasłona dymna, która odwróci uwagę od ukierunkowanego ataku o bardziej dotkliwych skutkach – wskazuje Tom Van de Wiele, główny konsultant ds. bezpieczeństwa w F-Secure.
Prawie połowa (47%) cyberataków wymierzonych w branżę przemysłową to kradzież własności intelektualnej w celu zyskania przewagi konkurencyjnej. 53% ataków dokonują przy tym podmioty powiązane z rządami państw[2].
Wyzwaniem wśród producentów jest łączenie systemów IT z automatyką przemysłową (ang. Operational Technology, OT). Zwiększanie przepływu danych pomiędzy nimi naraża maszyny i całe procesy produkcyjne na cyberzagrożenia. Wiele systemów OT nie posiada zabezpieczeń, gdyż powstały przed pojawieniem się obecnie znanych cyberzagrożeń. Aktualizacje nie zawsze są możliwe, ponieważ wiele systemów musi działać przez całą dobę. System warty miliony i zaprojektowany na dziesięciolecia pracy nie może w łatwy sposób zostać zastąpiony nowym – nawet jeśli uzna się go za zagrożony.
– Norsk Hydro to międzynarodowe zakłady przemysłowe, z którymi współpracuje duża liczba dostawców usług. Źródłem naruszenia może być luka w systemie firmy lub zewnętrznej sieci dostawcy. Niewykluczone również, że jeden z pracowników otrzymał e-mail ze złośliwym załącznikiem. Z pewnością zawiodła jednak odpowiednia separacja systemów informatycznych od produkcyjnych – wskazuje Tom Van de Wiele, główny konsultant ds. bezpieczeństwa w F-Secure.
W ostatnim czasie ransomware tracił na znaczeniu – liczba nowych zagrożeń tego typu spadła z prawie 350 tys. końcem 2017 roku do około 64 tys. w I kw. 2018 roku[3]. Doniesienia związane z Norsk Hydro mogą świadczyć jednak o bardziej przemyślanym dobieraniu celów przez cyberprzestępców.
[1] Ransomware – oprogramowania szyfrujące dane i żądające okupu.
[2] https://enterprise.verizon.com/resources/reports/dbir/
[3] Według AV-TEST Security Report 2017-2018.
