O ataque cibernético de ransomware LockerGoga da Norsk Hydro

 

Norsk Hydro ASA, uma das maiores empresas de alumínio do mundo, foi vítima de um grave ataque cibernético.. Em um comunicado à imprensa divulgado em 19 de março de 2019, a empresa norueguesa anunciou: “A Hydro foi vítima de um extenso ataque cibernético nas primeiras horas da terça-feira (CET) [19 de março de 2019], impactando as operações em diversas áreas de negócios da empresa… A Hydro isolou todas as usinas e operações e está migrando para operações e procedimentos manuais sempre que possível.” Avisos foram afixados nas instalações da Norsk Hydro orientando os usuários a não se conectarem à rede da empresa e a desconectarem todos os dispositivos da rede.

“Este é um ataque clássico de ransomware”, disse o diretor financeiro Eivind Kallevik durante uma coletiva de imprensa. “A situação é bastante grave.”

O ransomware que infectou as redes da Norsk Hydro é conhecido como LockerGoga. Vamos analisar o ransomware por trás desse ataque e discutir os danos potenciais que ele pode causar à infraestrutura crítica.

O que é LockerGoga?

LockerGoga é um novo ransomware que tem como alvo sistemas Windows e foi detectado pela primeira vez pelo @malwrhunterteam No início deste ano, LockerGoga ficou conhecido após ser usado em um ciberataque no final de janeiro contra Altran Technologies, uma empresa de engenharia francesa.

Amostras do ransomware LockerGoga em formato executável portátil (PE) para Windows incluíram metadados de depuração na forma de Arquivo de banco de dados de programa (PDB) Os caminhos PDB extraídos do binário continham os caminhos do sistema local dos autores do malware, que indicavam o nome do ransomware:

`X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp`

Pesquisadores de malware notaram semelhanças entre LockerGoga e o ransomware BitPaymer, qual infectou a PGA da América no ano passado. A nota de resgate, os métodos de extorsão, os nomes dos arquivos e a extensão dos arquivos criptografados são muito semelhantes às técnicas usadas pelo LockerGoga. No entanto, De acordo com pesquisadores de malware, Essas semelhanças são apenas superficiais:

Uma variante inicial do LockerGoga, resultante do ataque Altran, pode ser vista aqui (enviada em 25 de janeiro).

Ao ser executado, o ransomware LockerGoga criptografa diversos tipos de arquivos conhecidos, incluindo:

.doc, .docb, .docx, .dot, .dotx, .pdf, .pot, .potx, .pps, .ppsx, .ppt, .pptx,. sldx, .wbk, .xlm, .xlsb, .xlsx, .xltx, .xlw

Esses arquivos criptografados são renomeados com um .trancado extensão.

Uma nota de resgate é colocada na área de trabalho do usuário (C:\Usuários\ \Desktop\README_LOCKED.txt), que exige que as vítimas enviem e-mails aos extorsionistas para pagar um resgate em Bitcoin (BTC). Os endereços de e-mail usados para a extorsão incluem ProtonMail (um provedor de e-mail suíço focado em privacidade) e o2 (uma empresa polonesa de serviços de internet).

Na manhã de terça-feira, @malwrhunterteam identificou um Amostra assinada do LockerGoga enviada para o VirusTotal da Noruega, e especula-se que seja uma amostra da variante LockerGoga que infectou a Norsk Hydro. A amostra foi autenticada com um certificado válido emitido por Autoridade Certificadora de Assinatura de Código RSA da Sectigo, O certificado foi revogado poucas horas após o ataque:

No entanto, existem variantes adicionais de LockerGoga. sendo ativamente encontrados na natureza assinado por certificados válidos de Autoridade Certificadora de Assinatura de Código RSA da Sectigo.

Propagação

O ransomware LockerGoga é surpreendentemente básico. Ele não usa nenhuma comunicação de rede. Não há C2, DNS ou quaisquer métodos de propagação usados pelo malware.

NorCert (Equipe Nacional de Resposta a Emergências Cibernéticas da Noruega) declarou em um comunicado sobre o ataque que os perpetradores usaram o Active Directory (AD) do Windows para disseminar o ransomware:

“O NorCERT alerta que a Hydro está exposta a um ataque LockerGoga. O ataque foi combinado com um ataque ao Active Directory (AD).
A NorCERT solicita informações de outras pessoas afetadas por eventos semelhantes. A NorCERT está auxiliando a Hydro e o incidente é considerado em andamento.”

Caso os atacantes conseguissem comprometer um sistema para obter acesso de administrador de domínio, o ransomware LockerGoga poderia ter sido programado para se propagar pelos controladores de domínio e infectar sistemas em todo o domínio, utilizando uma atualização forçada de GPO (Objeto de Política de Grupo).

Possíveis efeitos de um ataque cibernético em uma fábrica de alumínio.

Comunicados de imprensa mais recentes da Norsk Hydro indicaram que os sistemas de controle industrial não foram afetados pelo ataque. No entanto, os PLCs (Controladores Lógicos Programáveis), os laptops dos engenheiros de ICS e os sistemas SCADA (Supervisory Control and Data Acquisition), que frequentemente interagem, controlam ou monitoram os sistemas ICS, geralmente executam sistemas operacionais Windows, e não seria incomum que esses sistemas estivessem — infelizmente — conectados ao mesmo domínio que o espaço do usuário.

Os potenciais efeitos de um ciberataque na infraestrutura de sistemas de controle industrial (ICS) de uma fábrica de alumínio seriam particularmente desastrosos. A fundição de alumínio envolve um processo complexo e complexo. eletrólise Processo que requer imensas quantidades de eletricidade. É por isso que as fundições de alumínio são comumente encontradas perto de usinas hidrelétricas. A imensa quantidade de eletricidade necessária se deve à quantidade de calor requerida para fundir o alumínio. As fundições de alumínio possuem muitas células — às vezes chamadas de cubas — nas quais a eletrólise ocorre; essas cubas são obrigatório para ser mantido quente durante o funcionamento. Para se ter uma ideia, os danos começam a ocorrer quando a panela é resfriada a 900°C.

Se ocorrer uma queda de energia, interrupção ou outro evento que permita que essas células de eletrólise esfriem, isso pode causar danos graves às células. Reparar ou substituir essas células pode representar um grande ônus financeiro para uma empresa.

Na semana passada, ocorreram apagões na Venezuela. levou a indústria venezuelana de alumínio à ruína.:

“As unidades operacionais restantes da fundição de alumínio estatal Venalum e da Bauxilum, também estatal,
As unidades de produção de alumina foram destruídas pelo apagão e provavelmente não serão reparadas tão cedo.
Pelo menos um ano, disse um alto funcionário da Venalum. 'Os setores primários de alumínio e alumina são
morto por tempo indeterminado."'

No entanto, a fundição pode, obviamente, ser controlada manualmente, e foi isso que a Norsk Hydro foi obrigada a fazer hoje:

“Como a Hydro queria impedir que o vírus se espalhasse para várias partes da infraestrutura da empresa,
A gigante industrial cortou o contato com os sistemas de computador e, portanto, teve que se comunicar com a fábrica.
o telefone e manter a operação funcionando manualmente.
Então foram os funcionários mais antigos que demonstraram conhecimento hoje? "Sim, foram os lobos velhos que se lembraram de como se fazia no passado", diz um funcionário da Hydro.
fábrica em Høyanger.”

Detalhes adicionais

E-mails relacionados:

[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected] 

---

Nomes dos arquivos:

tgytutrc7290.exe yxugwjud6698.exe LockerGoga.exe LockerGoga Lockergoga.exe 

---

Hashes:

tgytutrc7290.exe

MD5 - e11502659f6b5c5bd9f78f534bc38fea SHA1 - b5fd5c913de8cbb8565d3c7c67c0fbaa4090122b SHA256 - c97d9bbc80b573bdeeda3812f4d00e5183493dd0d5805e2508728f65977dda15 ssdeep - 24576:645Rt4El7fc/TFJzjJUgrrCq5sNIwQsUGy1q7a9DlIACTp+kqGslRG:Rjt4El7fc/TFJWstwQsPdSDuACTpqhG authentihash - 8b94b05081c3b6f4518461f884199cd092762762704cf37d06793393d9b82dcb imphash - ce51c671c94cce6379a0f6823fad4112 

• VirusTotal
• Joe Sandbox Cloud

yxugwjud6698.exe

MD5 - 16bcc3b7f32c41e7c7222bf37fe39fe6 SHA1 - a25bc5442c86bdeb0dec6583f0e80e241745fb73 SHA256 - eda26a1cd80aac1c42cdbba9af813d9c4bc81f6052080bc33435d1e076e75aa0 ssdeep - 24576:uj/6CtkHRos9l+zan4Q6eQqF5ZgQibE2zkMiJHic9OuTw258tox6T9G0SKoRl:A/NtkHRos9l+zan4QTB/2zkPtBq2itoP authentihash - 6d0054dc32616687d9dbbc3cfe7148be157751b9bdfe55ace21a7aa46dd32be3 imphash - 5ac063140bb65ee6bf5852bb45b1e9b6 

• VirusTotal
• Joe Sandbox Cloud

Fontes

• • https://techcrunch.com/2019/03/19/norsk-hydro-ransomware/
  • http://www.correodelcaroni.com/index.php/economia/1506-apagon-liquido-las-73-celdas-de-reduccion-de-aluminio-de-venalum-y-alcasa
  • https://www.bloomberg.com/news/articles/2019-03-19/hydro-says-victim-of-extensive-cyber-attack-impacting-operations-jtfgz6td
  • https://www.bleepingcomputer.com/news/security/new-lockergoga-ransomware-allegedly-used-in-altran-attack/
  • https://devblogs.microsoft.com/cppblog/whats-inside-a-pdb-file/
  • https://www.bleepingcomputer.com/news/security/the-pga-possibly-infected-with-the-bitpaymer-ransomware/
  • https://www.forbes.com/sites/leemathews/2018/08/09/pga-computers-hit-by-ransomware-infection/#22f3bad565a4
  • https://twitter.com/GrujaRS/status/1089964491725590528
  • https://www.nrk.no/norge/skreddersydd-dobbeltangrep-mot-hydro-1.14480202
  • https://www.aluminiumtoday.com/contentimages/features/Oyeweb.pdf
  • https://www.argusmedia.com/en/news/1863707-venezuelas-fragile-power-grid-partially-restored