2019-03-28

Efter cyberangreppet mot Norsk Hydro

Norsk Hydro, en stor aluminiumproducent i grannlandet Norge, utsattes förra veckan för ett omfattande cyberangrepp. Nu när vecka två lider mot sitt slut kan vi reflektera lite över vad som skedde och vad vi kan lära oss av det, oavsett vem vi är!

Gustav Rydmark Tekniskt säljstöd Säkerhet

Vad skedde?

Strax innan midnatt mellan 18-19:e mars påbörjades ett ransomware angrepp mot Norsk Hydro, en global spelare i aluminumtillverkning med 36 000 anställda och verksamhet i 40 länder. Under småtimmarna krypterades filer, nätverksinterface deaktiverades och lokala konton bytte lösenord.

Vid 05 kopplade Hydro loss sitt WAN och anställda ombeddes att ej ansluta till nätverken.

Därefter har ett rigoröst räddningsarbete pågått med att få upp system, återläsa förlorad information, kommunicera med kunder och sakta men säkert identifiera och rensa upp alla spår av angreppet.

Den 26:e mars rapporterades att produktionen var tillbaks på 70-80 procent, men vissa verksamheter var fortfarande stillastående. Angreppet estimeras ha kostat mellan 370-430 miljoner svenska kronor.

Låt oss ta en titt på några av detaljerna och både dra lärdom och stundtals spekulera utifrån dem.

Vad kan vi dra lärdom av som organisation?

  • Attacken inleddes vid midnatt och gick därefter i rasande takt. Hur skulle vår organisation reagera om något omfattande skedde vid ett sådant klockslag? Att kvalificerade angrepp sker vid obekväma tider är mer regel än undantag då angripare gärna vill låta sina angrepp verka ostört.
  • Attacken skedde bara några timmar efter att deras nya VD tillsatts – slump eller ej kan detta potentiellt försämra organisationens förmåga att agera korrekt i sina åtgärder, speciellt i denna skala. Hur ser våra rutiner ut vid storskaliga angrepp och hur personberoende är dem?
  • Norsk Hydro samarbetade intimt med sin statliga säkerhetsmyndighet (Nasjonal sikkerhetsmyndighet) som också förmedlade varningar och råd till kollegor i branchen. Hur ser vår relation ut med statliga myndigheter inom cybersäkerhet?
  • Priset på aluminium gick upp med ca 1%, det högsta på tre månader, som konsekvens av attacken. Hur kan vår marknad påverkas om vi angrips?
  • Norsk Hydro har fått eloge för sitt goda agerande under angreppet, speciellt i sin kommunikation med omvärlden. Förutom en temporär hemsida och kommunikation via facebook höll de även dagliga webcasts där insatt personal svarade på frågor och berättade om läget. Hur ser vår plan ut för att hantera kunder och omvärld vid avbrott?
  • CFO uppger att de inte betalat någon lösensumma för attacken. Har vi en satt policy för detta?

Vad kan vi dra lärdom av inom tekniken och säkerhetsövervakningen?

  • Angreppet påstås ha utförts med LockerGoga, ett avancerat Ransomware malware.
  • Givet att ovanstående är korrekt, kan vi ta en titt på några av dess egenskaper
    • Några veckor innan angreppet var Lockergoga osynlig för alla tester på VirusTotal,
      så skall vi ha en chans att upptäcka den måste vi övervaka dess aktiviteter, snarare än varningar från klientskydd m.m.
    • LockerGoga använder en unik referens för varje angrepp (mot ett franskt teknikföretag tidigare i år och några kemiföretag utöver det)
    • Den är digitalt signerad - till ett bolag med £1 i tillgångar. Certificate Authorities är fortsatt långsamma på att revokera sådana certifikat.
    • LockerGoga replikerar sig inte och nyttjar varken Command & Control servers eller DNS utåt, som annars är vanliga detektionsmöjligheter. Det är inte känt hur den kom in men man skulle kunna spekulera att den placerats ut och aktiverats via windows egna funktionalitet: GPO:er, schemalagda kommandon eller helt enkelt remote access.
  • Eftersom vi vet om vad som hände i angreppet kan vi dra slutsatsen att angriparna behövde domän admin rättigheter – detta är nästan alltid förfarandet och kommer fortsätta vara det tills det blir svårare att erhålla ”keys to the kingdom” i våra miljöer.
  • Som alltid vid ransomware är backups värda guld – dock måste dessa också skyddas eller vara offline, annars är risken påtaglig att även de påverkas med några av de nyare angreppen.
  • För att förbättra vår övervakning skulle vi kunna:
    • Övervaka schemalagda tasks som skapas eller exekveras för ofta.
    • Övervaka lokala lösenordförändringar
    • Övervaka frekvensen av vissa utvalda kommandon, såsom netsh.exe eller långa powershellsträngar med psexec *.
    • Få bättre koll på var vi sett tecken på angreppet, så återställningsarbetet går snabbare.
  • Norsk Hydro använde sitt Office 365 för att kommunicera med varandra internt under angreppet – trots att de fick använda penna, papper och miniräknare för att utföra en del arbete. Att ha en samarbetskanal på separat teknik än verksamheten var en stor räddning här.
  • Varningar från kollegor och Threat Intelligence kan vara den förvarning vi behöver för att gardera oss – har vi möjlighet att få sådant in i vår övervakning?

Med bland annat NIS direktivet högt i åtanke rekommenderar jag varmt att läsa mer om angreppet,Norsk Hydros agerande och jämföra med förutsättningarna i just din organisation.

Passa på att ta våra experter på Atea till hjälp!