ノルスク・ハイドロLockerGogaランサムウェアサイバー攻撃

 

ノルスク・ハイドロ 世界最大のアルミニウム会社の一つであるASAは、, 深刻なサイバー攻撃の被害に遭った. ノルウェーに拠点を置く同社は2019年3月19日のプレスリリースで、「Hydroは火曜日（中央ヨーロッパ時間）早朝（2019年3月19日）に大規模なサイバー攻撃を受け、複数の事業分野の業務に影響が出ています。…Hydroはすべてのプラントと業務を隔離し、可能な限り手動の操作と手順に切り替えています」と発表した。Norsk Hydroの施設には、ユーザーに会社のネットワークに接続せず、すべてのデバイスをネットワークから切断するよう勧告する標識が掲示された。.

“「これは典型的なランサムウェア攻撃です」と、最高財務責任者（CFO）のエイヴィンド・カレヴィク氏は記者会見で述べた。「状況は非常に深刻です。」”

ノルスク・ハイドロのネットワークに感染したランサムウェアは、 ロッカーゴガ. この攻撃の背後にあるランサムウェアについて見ていき、このランサムウェアが重要なインフラに及ぼす可能性のある損害について考えてみましょう。.

LockerGogaとは何ですか？

LockerGogaは、Windowsシステムを標的とする新しいランサムウェアで、 @malwrhunterteam 今年初めにLockerGogaが有名になったのは、 サイバー攻撃 1月下旬に アルトランテクノロジーズ, フランスのエンジニアリング会社。.

LockerGogaのWindowsポータブル実行可能ファイル（PE）ランサムウェアのサンプルには、次のような形式のデバッグメタデータが含まれています。 プログラムデータベース（PDB）ファイル パス名。バイナリから抽出されたPDBパスには、ランサムウェアの名前を示すマルウェア作成者のローカルシステムパスが含まれていました。

`X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp`

マルウェア研究者 注目された類似点 LockerGogaと BitPaymerランサムウェア, 、 どれの 昨年、全米プロゴルフ協会を感染させた. 身代金要求の文面、脅迫方法、ファイル名、暗号化されたファイル拡張子はすべてLockerGogaが使用する手法と非常に類似しています。しかしながら、, マルウェア研究者によると, ただし、これらの類似点は表面上のみに見られます。

Altran 攻撃の初期の LockerGoga バリアントは、こちらでご覧いただけます (1 月 25 日提出)。.

LockerGoga ランサムウェアは、実行されると、次のような多くのよく知られたファイル タイプを暗号化します。

.doc、.docb、.docx、.dot、.dotx、.pdf、.pot、.potx、.pps、.ppsx、.ppt、.pptx、。 sldx、.wbk、.xlm、.xlsb、.xlsx、.xltx、.xlw

これらの暗号化されたファイルは、 .ロック済み 拡大。.

身代金要求のメモがユーザーのデスクトップに置かれます（C:\ユーザー\ \デスクトップ\README_LOCKED.txt）は、被害者にビットコイン（BTC）の身代金を支払うよう脅迫者にメールするよう要求する。脅迫に使用されたメールアドレスは以下の通り。 プロトンメール （スイスのプライバシー重視のメールプロバイダー）と o2 (ポーランドのインターネット サービス会社)。.

火曜日の朝、, @malwrhunterteam 特定した 署名されたLockerGogaのサンプルがVirusTotalにアップロードされました ノルウェーから送られてきたもので、ノルスク・ハイドロに感染したLockerGoga亜種のサンプルであると推測されています。このサンプルには、 Sectigo RSA コード署名 CA, その後、証明書は攻撃からわずか数時間後に失効しました。

しかし、LockerGogaの追加の亜種は 野生で活発に発見されている 有効な証明書によって署名された Sectigo RSA コード署名 CA.

伝搬

LockerGogaランサムウェアは驚くほどシンプルです。ネットワーク通信は一切使用しません。 C2, 、DNS、またはマルウェアが使用する拡散方法は一切ありません。.

ノルサート （ノルウェーの国家コンピュータ緊急対応チーム）は述べた。 攻撃に関する発表の中で 犯人はランサムウェアを拡散するために Windows Active Directory (AD) を使用した。

“NorCERTは、HydroがLockerGoga攻撃の危険にさらされていると警告しています。この攻撃は、Active Directory（AD）への攻撃と組み合わされていました。.
NorCERTは、同様の事象の影響を受けられた方々からの情報提供を要請しています。NorCERTはHydro社を支援しており、このインシデントは現在も継続中であると考えられます。”

攻撃者がシステムを侵害してドメイン管理者のアクセス権を取得できた場合、LockerGoga ランサムウェアは、強制的な GPO (グループ ポリシー オブジェクト) 更新を使用してドメイン コントローラー全体に伝播し、ドメイン全体のシステムに感染するようにスクリプト化されていた可能性があります。.

アルミニウム工場へのサイバー攻撃の潜在的影響

ノルスク・ハイドロの最近のプレスリリースによると、産業用制御システムは今回の攻撃の影響を受けなかったとのことです。しかし、PLC（プログラマブル・ロジック・コントローラー）、ICSエンジニア用ラップトップ、そしてICSシステムと頻繁に連携、制御、監視を行うSCADA（監視制御・データ収集）システムは、一般的にWindowsオペレーティングシステムを採用しており、残念ながらこれらのシステムがユーザーランドと同じドメインに接続されている可能性も否定できません。.

アルミニウム工場のICSインフラへのサイバー攻撃の潜在的な影響は特に壊滅的となるでしょう。アルミニウムの製錬には 電解 膨大な量の電力を必要とするプロセスです。そのため、アルミニウム製錬所は水力発電所の近くに設置されることが多いのです。アルミニウムを製錬するには大量の熱が必要となるため、膨大な量の電力が必要になります。アルミニウム製錬所には、電気分解が行われるセル（ポットと呼ばれることもあります）が多数設置されており、これらのポットは 必須 保管される 熱い 運転中。参考までに、ポットが900℃まで冷却された時点で損傷が発生し始めます。.

停電、停電、その他の事象が発生してこれらの電解セルが冷却されると、 細胞に深刻なダメージを与える. これらのセルの修理や交換は、企業にとって大きな経済的負担となる可能性があります。.

先週ベネズエラで停電が起こり ベネズエラのアルミニウム産業を破綻させた:

“「国営アルミニウム製錬会社ヴェナルムの残りの操業中のユニットと国営バウキシルムの
アルミナ生産ユニットは停電により破壊され、少なくとも
少なくとも1年はかかるだろうと、ベナルムの幹部は述べた。「一次アルミニウムとアルミナ部門は
「近い将来に死ぬだろう」'

しかし、製錬は当然手動で制御することも可能であり、ノルスク・ハイドロ社は今日、そうせざるを得なかった。

“「ハイドロは、ウイルスが会社のインフラの複数の部分に広がるのを防ぎたかったので、,
巨大産業企業はコンピュータシステムとの連絡を断ち、工場内で通信する必要があった。
電話をかけ、手動で操作を継続します。.
では、今日その知識を示したのは年配の従業員たちだったのだろうか？「そうです、昔のやり方を覚えていたのは昔のオオカミたちだったのです」とハイドロ社の従業員は言う。
ホイアンゲルの工場です。」”

追加の詳細

関連メール:

[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] 

---

ファイル名:

tgytutrc7290.exe yxugwjud6698.exe LockerGoga.exe LockerGoga Lockergoga.exe 

---

ハッシュ:

tgytutrc7290.exe

MD5 - e11502659f6b5c5bd9f78f534bc38fea SHA1 - b5fd5c913de8cbb8565d3c7c67c0fbaa4090122b SHA256 - c97d9bbc80b573bdeeda3812f4d00e5183493dd0d5805e2508728f65977dda15 ssdeep - 24576:645Rt4El7fc/TFJzjJUgrrCq5sNIwQsUGy1q7a9DlIACTp+kqGslRG:Rjt4El7fc/TFJWstwQsPdSDuACTpqhG 認証ハッシュ - 8b94b05081c3b6f4518461f884199cd092762762704cf37d06793393d9b82dcb インファッシュ - ce51c671c94cce6379a0f6823fad4112 

• ウイルストータル
• ジョー・サンドボックス・クラウド

yxugwjud6698.exe

MD5 - 16bcc3b7f32c41e7c7222bf37fe39fe6 SHA1 - a25bc5442c86bdeb0dec6583f0e80e241745fb73 SHA256 - eda26a1cd80aac1c42cdbba9af813d9c4bc81f6052080bc33435d1e076e75aa0 ssdeep - 24576:uj/6CtkHRos9l+zan4Q6eQqF5ZgQibE2zkMiJHic9OuTw258tox6T9G0SKoRl:A/NtkHRos9l+zan4QTB/2zkPtBq2itoP 認証ハッシュ - 6d0054dc32616687d9dbbc3cfe7148be157751b9bdfe55ace21a7aa46dd32be3 インファッシュ - 5ac063140bb65ee6bf5852bb45b1e9b6 

• ウイルストータル
• ジョー・サンドボックス・クラウド

出典

• • https://techcrunch.com/2019/03/19/norsk-hydro-ransomware/
  • http://www.correodelcaroni.com/index.php/economia/1506-apagon-liquido-las-73-celdas-de-reduccion-de-aluminio-de-venalum-y-alcasa
  • https://www.bloomberg.com/news/articles/2019-03-19/hydro-says-victim-of-extensive-cyber-attack-impacting-operations-jtfgz6td
  • https://www.bleepingcomputer.com/news/security/new-lockergoga-ransomware-allegedly-used-in-altran-attack/
  • https://devblogs.microsoft.com/cppblog/whats-inside-a-pdb-file/
  • https://www.bleepingcomputer.com/news/security/the-pga-possibly-infected-with-the-bitpaymer-ransomware/
  • https://www.forbes.com/sites/leemathews/2018/08/09/pga-computers-hit-by-ransomware-infection/#22f3bad565a4
  • https://twitter.com/GrujaRS/status/1089964491725590528
  • https://www.nrk.no/norge/skreddersydd-dobbeltangrep-mot-hydro-1.14480202
  • https://www.aluminiumtoday.com/contentimages/features/Oyeweb.pdf
  • https://www.argusmedia.com/en/news/1863707-venezuelas-fragile-power-grid-partially-restored