Норвежская нефтегазовая и металлургическая корпорация Norsk Hydro попала под удар шифровальщика LockerGoga — чтобы остановить распространение зловреда, IT-специалистам пришлось изолировать предприятия и перевести несколько из них на ручное управление.
Атака произошла в ночь на вторник 19 марта и поразила информационные системы сразу на нескольких производственных участках. На пресс-конференции, связанной с инцидентом, представители корпорации сообщили, что им пришлось остановить несколько заводов, обеспечивающих экструзию металла. В Бразилии, Катаре и Норвегии на ручной режим перешли плавильные предприятия.
Финансовый директор Norsk Hydro Эйвинд Каллевик (Eivind Kallevik) оценил ситуацию как «довольно серьезную».
«Атака обрушила наши сети по всему миру, в результате чего пострадали как производственные, так и офисные процессы, — рассказал топ-менеджер. — В настоящий момент мы стараемся возобновить работу, сократить финансовый и операционный ущерб. К настоящему моменту произошедшие инциденты не привели к несчастным случаям [на производстве]».
Каллевик сообщил, что специалисты остановили распространение зловреда в системах компании. Как видно на опубликованных в Сети объявлениях службы безопасности Norsk Hydro, для этого сотрудников просили не включать компьютеры и не присоединяться к корпоративной сети.
По словам Каллевика, корпорация не планирует платить выкуп и надеется восстановить пораженные данные из резервных копий. Компания не уточнила, какое именно ПО вызвало проблемы.
По информации специалистов центра NorCERT, преступники применили относительно новый шифровальщик LockerGoga. В январе зловред атаковал французскую фирму Altran Technologies, которая занимается консалтингом в области инженерных разработок.
Как поясняют ИБ-эксперты, преступники устанавливают LockerGoga через скомпрометированный аккаунт с правами администратора и размещают вредоносный дистрибутив в папке Netlogon, к которой имеют доступ все компьютеры корпоративной сети. После этого злоумышленники настраивают групповую политику таким образом, чтобы все компьютеры и серверы запустили файл с максимальными привилегиями.
Такая механика позволяет LockerGoga быстро распространиться по сети без саморепликации. Кроме того, благодаря использованию службы Active Directory злоумышленники обходят корпоративные брандмауэры.
В конце прошлого года аналитики «Лаборатории Касперского» включили атаки на промышленность в список ключевых угроз. Причиной тому остается низкая защищенность производственных процессов в этом сегменте. Эксперты подчеркнули, что целью злоумышленников может быть не только нажива, но и оказание давления на компанию или страну, если предприятие входит в число критически важных.
Источник: https://threatpost.ru/lockergaga-ransomware-hits-hydro-norsk/31927/