facebook adres e-mail telefon

To ransomware uderzył w potentata aluminium (Norsk Hydro)

Oprogramowanie szyfrujące pliki na komputerach było w centrum “cyberataku” czy też “ataku hakerów” na firmę Norsk Hydro. Przedsiębiorstwo przeszło na “operacje ręczne” i miało dobrze zrobiony backup, ale to dobra okazja by przypomnieć, że problem ransomware’u nie traci swojej aktualności.

To ransomware uderzył w potentata aluminium (Norsk Hydro). Jakiś czas temu różne media informowały o “cyberataku” lub “ataku hakerów” na Norsk Hydro. Na stronie samej firmy znalazł się zwięzły i przez to nieco przerażający komunikat. Napisano w nim o “cyberataku”, który wpłynął na kilka obszarów działań.

Był “cyberatak” na Norsk Hydro

Norsk Hydro to firma niekoniecznie dobrze znana Polakom, więc krótko wyjaśnijmy o co chodzi. Jest to norweski producent aluminium (jeden z największych na świecie), a także firma z sektora energii odnawialnej. Prowadzi działalność na wszystkich kontynentach, w 50 różnych krajach i zatrudnia 35 tys. ludzi. Jednym słowem – naprawdę duża firma, której działalność ma znaczący wpływ na gospodarkę.

To był ransomware

Na początku pojawiła się pierwsza istotna aktualizacja informacji. Na konferencji prasowej (a później na Facebooku) poinformowano, że zakłady przeszły na działanie “ręczne” i pracowały dalej, przynajmniej na tyle na ile to możliwe. Nie wystąpiły żadne zagrożenia dla bezpieczeństwa ludzi i powiadomiono władze o ataku.

Produkcja energii nie została wstrzymana, a rafinatory aluminium działały dalej “ze zwiększonym stopniem operacji ręcznych”. Problemy z połączeniem systemów produkcyjnych spowodowały tymczasowe przestoje w kilku zakładach. 

Okup nie zostanie zapłacony

Teraz już wiadomo, że za wszystkim stoi ransomware LockerGoga. Ten akurat malware znany jest od niedawna, ale zdobył pewną sławę w styczniu tego roku dzięki atakowi na francuską firmę Altran Technologies.

Wczoraj firmie Norsk Hydro trudno było mówić o naprawianiu skutków ataku. W czasie konferencji CFO firmy Norsk Hydro podkreślał, że trwają analizy dotyczące skutków i możliwych sposobów przeciwdziałania. Skupiono się także na “odizolowaniu” zakładów, które nie ucierpiały (od sieci publicznej i od siebie nawzajem).

CFO mówił też, że zatrudniono ekspertów zewnętrznych w celu “znalezienia rozwiązania problemu”. Podkreślił, że firma “ma dobre rozwiązania do backupu” i główną strategią przywrócenia systemów ma być wykorzystanie tego atutu. Nie powiedziano wprost, że okup nie zostanie zapłacony, ale na chwilę obecną Norsk Hydro raczej nie ma zamiaru płacić.

Ransomware – aktualne zagrożenie

Media pisały o najbardziej spektakularnych atakach ransomware takich jak WannaCry albo Petya. Ważne jest jednak by pamiętać, że problem istnieje cały czas, mimo iż w mediach przycichł.

Oprogramowanie LockerGoga (czyli to, które zaatakowało Norsk Hydro) może się roznosić m.in. w plikach dokumentów (PDF, DOC, DOCX, PPS itd.). Ataki tego typu często współwystępują ze spear-phishingiem, a stworzenie socjotechniki nakłaniającej pracownika do pobrania i otworzenia dokumentu nie wydaje się bardzo trudne.

Owszem, trzeba uczulać pracowników na socjotechnikę, ale trzeba też zadbać o rozwiązania backupu i to takie, które w razie potrzeby będzie można szybko i bezpiecznie zastosować. 

Ataki są lepiej celowane

Interesujących danych na ten temat dostarcza raport ekspertów . Wynika z niego, że w roku 2018 liczba infekcji ransomware spadła o 20% w porównaniu do roku 2017, a ponadto w roku 2018 pojawiło się “tylko” 10 nowych rodzin ransomware’u. Czy to oznacza, że oprogramowanie szyfrujące jest w odwrocie? Wcale nie.

Ekspert zaobserwował 12% wzrost liczby ataków przeciwko firmom. Wiele wskazuje na to, że cele są coraz lepiej dobierane – duża firma zapłaci więcej okupu niż rodzic, który chce odzyskać fotki dzieciaka.

Od siebie dodamy, że ataki na firmy są przygotowywane z dużym wyprzedzeniem. Może je poprzedzać instalacja trojana, którego celem jest wyłącznie zrobienie głębszego rekonesansu. W niektórych firmach znajdowano trojana do rekonesansu, ale potem nie następował atak ransomware’u co sugeruje, że cele są uważnie wybierane (tak właśnie było z ransomwarem Ryuk.

Pamiętajmy też, że to w roku 2018 ransomware SamSam zaatakował miasto Atlanta, które nie zapłaciło okupu w wysokości 51 tysięcy dolarów, ale za to wydało kilka milionów na przywrócenie wszystkiego do działania. Dziś ten przykład jest często podawany przy omawianiu kwestii ekonomicznych przywracania systemów. Choć FBI oficjalnie nakłania firmy do niepłacenia (żeby nie karmić przestępców) to przedsiębiorstwa mają powody, aby myśleć w nieco bardziej przyziemnych kategoriach.

Nawiasem mówiąc raport eksperta wspomina o wzroście liczby infekcji mobilnym ransomware (o 33% w roku 2018 w porównaniu do 2017). To też oznacza, że oprogramowanie szyfrujące nie tyle jest w odwrocie co dostosowuje się do rynkowych trendów.

Atak na Norsk Hydro to jeden z tych dużych problemów, o których inni napiszą. My zaś chcemy go wykorzystać by przypomnieć, że problem ransomware jest ciągle aktualny. Niektóre firmy płacą okupy nawet za to, aby nikt nigdy nie dowiedział się, iż były celem ataku (znamy i takie przypadki). Mniejsze firmy również cierpią z tego powodu i także są atrakcyjnym celem, bo nie zawsze dbają o backupy. Błędem jest myślenie, że ransomware zdarza się tylko innym firmom i ludziom.

CSK zaleca używanie usługi antywirusowej MAV w celu jak najlepszego zabezpieczenia komputera. Pamiętajmy jednak że antywirus nie zapewnia stuprocentowej ochrony komputera a do plików które ściągamy z internetu nigdy nie możemy mieć zaufania.

Źródło: niebezpiecznik.pl

Masz pytania? Napisz do nas!

Wyślij wiadomość