NorCert: Cyberangreb mod Norsk Hydro er ransomware

Illustration: Sergey Toropov/Bigstock
Hydro er udsat for et ransomwareangreb med LockerGoga, meddeler de norske sikkerhedsmyndigheder. Også selskabets Active Directory er angrebet. Hvis det er lykkes at kryptere AD'en kan det minde om det vi så på A.P. Møller-Mærsk forrige år, lyder det fra it-sikkerhedsrådgiver.

Der er tale om et ransomware-angreb mod Norsk Hydro med det omfattende cyberangreb, som ramte selskabet i nat.

Security advisor Claus Vesthammer, Improsec, håber, Norsk Hydro har et offsite AD-backup - ideelt set findes AD i minimum tre kopier – onsite, offsite og offline. Illustration: Improsec

Det fremgår af en medddelelse fra den norske pendent til Dkcert, NorCert, som er den operative del af Nasjonal sikkerhetsmyndighet (NSM).

Meddelelsen er sendt til en række samarbejdspartnere.

»NorCERT advarer om at Hydro er udat for et ransomwareangreb (LockerGoga). Angrebet blev kombineret med et angreb mod Active Directory (AD),« står det i meddelelsen ifølge NRK.

LockerGoga blev for første gang kendt i januar. Da blev det anvendt mod det franske konsulentfirma Altran.

Det er ikke oplyst om Norsk Hydro er blevet mødt med et krav om at betale løsepenge.

De norske myndigheder efterlyser nu information om hvorvidt andre organisationer i Norge er ramt af cyberangreb:

»NorCERT beder om information om hvorvidt andre er ramt af tilsvarende hændelser. NorCERT hjælper Hydro og hændelsen regnes som fortsat igangværende,« fremgår det videre.

Med andre ord er alle myndigheder i Norge nu sat i sving for at undersøge om der er yderligere spredning af malwaren.

Produktionsanlæg frakoblet digital drift

Angrebet mod Norsk Hydro har som omtalt tidligere i dag på Version2 betydet nedlukning af produktionsanlæg i den store norske aluminiumsproducent - mens andre anlæg er overgået fra digital drift til manuel drift.

Desuden er selskabets hjemmeside nede.

»Hydro became victim of an extensive cyber-attack in the early hours of Tuesday (CET), impacting operations in several of the company's business areas,« lyder den kortfattede meddelelse på den ellers døde hjemmeside.

Læs også: Norsk Hydro ramt af stort hackerangreb: Anlæg står stille - forbud mod brug af netværk og pc'er

Fin praksis for at begrænse skaden

Hos it-sikkerhedsvirksomheden Improsec har COO og security advisor Claus Vesthammer kun kendskab til hændelsen fra medierne.

Men han ser dog paralleller til andre store angreb på produktionsvirksomheder:

»Det er endnu ikke meldt ud, om det er lykkes angriberne at kryptere selskabets AD. Men i givet fald der er tale om det, minder angrebet om det vi så på A.P. Møller-Mærsk forrige år,« siger Claus Vesthammer til Version2.

»Hvis Norsk Hydros AD er krypteret, håber jeg, at de har en isoleret offsite backup,« siger han.

Det er ifølge ham en del af best practice inden for teknisk it-sikkerhed at have en isoleret kopi af ens AD og øvrige centrale data.

Backups skal ifølge ham idéelt set findes i minimum tre kopier – onsite, offsite og offline.

Den primære backupløsning er ”onsite”, det er den backupløsning man i dagligt brug laver restore fra – så længe man ikke er kompromitteret.

Offsite backuppen skal være på en afskærmet lokation, der ikke må have direkte netværksforbindelse til det primære site. Så hvis den primære lokationer bliver kompromitteret kan man genskabe data fra sin offsite lokation, såfremt disse backups ikke er kompromitteret af en avanceret angriber altså.

Periodisk, og nok ikke dagligt, bør man lave offline backups af sine mest centrale data, som fx sit AD for at sikre, at man i yderste nødstilfælde kan genskabe fra en known good state.

»Hvis du bliver ramt af et ransomwareangreb, og alle systemer og AD bliver krypteret, så kan det kun lade sig gøre at geninstallere det, hvis du har et AD kopi liggende offsite og/eller offline,« siger han.

Claus Vesthammer hæfter sig også ved, at Norsk Hydro har handlet resolut i forhold til at begrænse skadevirkningen af angrebet.

Tekst på Norsk Hydros hjemmeside som ellers er gået i sort Illustration: Screendump

»Selskabet har tidligt i morges gjort det rigtige ved at melde ud til deres ansatte, at de ikke må koble deres pc'er og telefoner på virksomhedens netværk, lige som man ikke må anvende internt wifi, men kun 4G. Det er en fin praksis,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize