LockerGoga paralisao poslovanje aluminijumskog giganta!
Četvrta velika žrtva nove ransomware varijante od početka godine!
![LockerGoga paralisao poslovanje aluminijumskog giganta! LockerGoga paralisao poslovanje aluminijumskog giganta!](/images/e/3/f/c/0/e3fc0a28b3b5618caba34927744e561ab2826c34-1-lockergoga.png)
Pre nekoliko dana, velika multinacionalna kompanija Norsk Hydro, koja se bavi proizvodnjom aluminijuma, doživela je katastrofalan ransomware napad. Sistemi kompanije koja postoji preko 100 godina i ima 35.000 zaposlenih su istovremeno počeli da otkazuju u različitim delovima sveta, a zatim se pojavila sledeća poruka o otkupnini:
Slika 1. Poruka o otkupnini. Izvor slike: Bleeping Computer.
Jedan od najvećih svetskih proizvođača aluminijuma je bio primoran da privremeno zatvori nekoliko svojih postrojenja širom Evrope i SAD-a. U nekim zemljama, poput Norveške, Katara i Brazila, kompanija je prešla na „manuelne operacije“ kako bi pokušala da nastavi poslovanje. To znači da će privremeno funkcionisati bez modernog IT sistema. Lokalni menadžeri su dobili zadatak da vode računa o porudžbinama (neki su radili prema ranije odštampanoj listi porudžbina).
Norsk Hydro je još jedna u nizu velikih kompanija koja je postala žrtva ransomware napada u proteklih nekoliko godina.
Šta se dogodilo?
Svi pogođeni sistemi, bilo da su proizvodni ili ne, imaju 4 zajednička elementa:
- Svi su Microsoft Windows.
- Fajlovi su kriptovani, uključujući i neke sistemske.
- Mrežni interfejs na svim sistemima je onemogućen.
- Promenjena je lozinka na nalozima lokalnih korisnika u svim sistemima.
Napad je počeo ujutru 19. marta u SAD-u. Može se sa sigurnošću reći da je u pitanju ciljani napad, jer je svaki LockerGoga payload sadržao jedinstvene četvorocifrene brojeve sa digitalnom referencom i informacijama koje su jedinstvene za metu napada.
Ubrzo nakon napada, na 40 lokacija širom sveta zaposleni su zatekli obaveštenje da je u toku sajber napad i da treba da isključe svoje uređaje sa lokalne mreže.
Slika 2. Poruka na jednoj od lokacija kompanije. Izvor slike: The Hackers News.
Prema saopštenju za javnost kompanije, napad je pogodio čitavu proizvodnju i administraciju.
LockerGoga je korišćen i u napadu na francusku firmu Altran Technologies početkom godine, kao i u napadima koji su se ovih dana dogodili u američkim kompanijama Hexion i Momentive iz hemijske industrije.
Iz kompanije navode da je još uvek rano da se izmeri poslovna i finansijska šteta, kao i vreme potrebno za saniranje posledica. Imaju osiguranje u slučaju sajber napada, a plan je da zaključane podatke vrate iz backupa.
Lateralna kretnja
LockerGoga nema mogućnost da se sam umnožava i širi kroz mrežu, kao što je slučaj sa recimo WannaCry i NotPetya malverima. To je, po svemu sudeći, namerno napravljeno, jer ovaj ransomware ne koristi komunikaciju sa C2 serverima i DNS saobraćaj kako bi smanjio verovatnoću da ga primete alati za mrežnu detekciju i endpoint alati za klasifikaciju.
Kako su onda napadači ubacili LockerGoga ransomware? Najverovatnije preko Active Directory, odnosno zakazanih zadataka ili servisa. Za to je potreban remote pristup, a još uvek nije poznato kako su ga napadači dobili. U svakom slučaju, kada uđu u mrežu, za sprovođenje napada potrebne su im Domain Administrator privilegije. To najčešće nije težak posao za napadače koji u te svrhe mogu da koriste Mimikatz alat, mogu da uzmu lozinke preko podešavanja grupnih polisa u Active Directory itd. Sa Active Directory administratorskim privilegijama, mogu da postave maliciozni exe fajl tamo gde će svaki sistem u organizaciji doći do njega. Na primer, postavljanjem malvera u Domain Controller i preko grupnih polisa (kreiranje zakazanih zadataka ili servisa), omogućava se automatsko pokretanje LockerGoga exe fajla, što znači da će svaki laptop, desktop i server povezan sa Active Directory pokrenuti maliciozni softver.
Kada dođe u sistem, LockerGoga pravi veliku štetu žrtvi, ali ima velikih propusta kada je u pitanju njegov krajnji cilj - pravljenje profita autorima. U poruci o otkupnini, za razliku od većine drugih ransomwarea, od žrtve se traži da kontaktira napadače mejlom i da praktično „pregovaraju“ o iznosu otkupnine.
Koje sve funkcije obavlja?
LockerGoga radi sledeće:
- Koristi jezgra i thread svih računara tokom enkripcije i izuzetno je brz. Dovoljno mu je nekoliko minuta da kompletira proces.
- Zaključava Office fajlove, ali i sistemske fajlove poput DLL fajlova na C particiji (pošto ima admin pristup za Active Directory, ima i potpunu kontrolu nad fajlovima).
- Novije verzije koriste netsh.exe za onemogućavanje svih mrežnih kartica nakon procesa enkripcije.
- Menja lozinke na svim nalozima lokalnih administratora.
- Na kraju procesa, izloguje korisnika preko logoff.exe.
Preporuke
-
Vaš Security Incident Event Management (SIEM) alat bi trebalo da vas obavesti kada detektuje previše novih zakazanih zadataka i/ili servisa (to uglavnom nije default podešeno).
-
Potrebno je da bezbednosno rešenje može da detektuje Mimikatz, Pass the Hash napade, preteranu upotrebu netsh.exe i logoff.exe, promene lozinki lokalnih administratora (naročito na serverima).
-
Uvek pravite backup podataka.
-
Nikada ne plaćajte otkupninu, jer to samo podstiče nove napade, a nemate garanciju da će vam sajber kriminalci zaista otključati fajlove.
-
Više preporuka o tome kako da se zaštitite, ali i šta da radite nakon ransomware napada, možete pročitati u našoj Best practise ransomware checklisti.
Izvor: Double Pulsar i The Hacker News
Dodatak
Najnovija procena Norsk Hydro kompanije je da su gubici posle nedelju dana od napada između 35 i 41 milion dolara! Zaključane podatke su vratili iz backupa, nisu plaćali otkupninu.