„Je velmi dobře, že Norsk Hydro odmítlo přistoupit na podmínky hackerů a zaplatit výkupné. V jejich prospěch také hovoří, že prováděli bezpečnostní zálohy, které nyní mohou ihned využít. Bez nich by totiž škody způsobené podobným útokem byly daleko horší. K prozatímním minimálním škodám přispěl i fakt, že výrobní zařízení jsou oddělené od hlavní firemní sítě. Nedošlo tak k jejich ovlivnění. Zabezpečit složitou průmyslovou organizaci jakou je továrna nebo slévárna je velmi náročné, protože se její infrastruktura skládá z velkého množství jednotlivých částí. Jakákoliv zranitelnost i v té nejméně důležité z nich může hackerům sloužit jako vstupní dveře do celé sítě,“ komentuje útok a reakci společnosti Norsk Hydro Vladimír Daschenko, bezpečnostní odborník ze společnosti Kaspersky Lab.

Ransomwarový útok na Norsk Hydro v otázkách a odpovědích:

Co je LockerGoga?

LockerGoga je ransomware, který hackeři používají k cíleným útokům na řadu subjektů od ledna tohoto roku. Tento software používají pouze k zašifrování určitých složek na pevných discích napadených počítačů. Není vybaven žádným automatickým lateralizačním nebo komunikačním mechanismem, kterým by mohl komunikovat se servery útočníků. Oběti jsou vyzvány, aby za účelem odemčení svých složek kontaktovali útočníky prostřednictvím dvou e-mailových adres uvedených v oznámení o výkupném.

Jak se LockerGoga šíří?

Útočníci spojovaní s LockerGoga cílí na počítačové sítě vybraných subjektů (lukrativní cíle). Proniknou do jejich sítě, aby nad nimi získali plnou kontrolu. Poté, co toho dosáhnou, rozšíří na síťové počítače a servery ransomware LockerGoga prostřednictvím adresářových služeb group policies nebo za pomoci služeb jako je PSExec.

Jaký je rozdíl mezi LockerGoga a NotPetya/WannaCry?

WannaCry a NotPetya byly sabotážní programy, které se chovaly jako ransomwarový software, a za jejichž vytvořením s největší pravděpodobností stáli státem podporovaní útočníci. Tyto dva programy také měly svůj vlastní způsob lateralizace, aby se automaticky rozšířily do sítě oběti. LockerGoga žádné tyto prostředky nemá, a proto ho musí útočník v napadené síti rozšířit až poté, co v ní získá plná práva.

Známe identitu útočníků?

Ransomware LockerGoga je považován za „pokročilou kybernetickou hrozbu“, která využívá stejné techniky a nástroje jako útočníci využívající pokročilé trvalé hrozby APT. Za útok LockerGoga nemusí být zodpovědní stejní pachatelé, kteří provedli prvotní nabourání do firemní sítě. Stejně tak i škodlivý kód si lze na dark webu koupit od třetí strany.

Scénář útoku tak mohl vypadat například následovně: jeden aktér mohl zaplatit za vývoj LockerGoga, druhý prodat certifikát pro podepsání škodlivého kódu, další účastník může být najatý na rozšíření backdooru který využijí operátoři, a ti nakonec provedou lateralizační manévr v napadené síti a rozšíří LockerGoga. Jak se dostal malware do sítě Norsk Hydro ale nevíme.