Hydro-hacket kostade minst 300 miljoner – så gick det till

Skriven av Stefan Thelberg | May 22, 2019 1:36:00 PM

Den 19 mars upptäcker Norsk Hydro onormal aktivitet i sina servrar och kan konstatera att de blivit utsatta för en mycket omfattande och allvarlig ransomware-attack som troligen startat i USA. Norsk Hydro har 35 000 anställda i 40 länder och är en av världens största tillverkare av aluminium. Norsk Hydro uppger själva att attacken kommer att kosta bolaget mellan 300 - 350 miljoner NOK och beskriver attacken som en global kris.

Än idag är alla system inte igång och de uppskattar att det kan ta flera månader till innan de är igång till 100 % igen. Troligen började attacken som genom en riktad e-postattack, så kallad spear phishing, vilket har gjort att ett ransomware kallat LockerGoga kunnat installeras och sedan spridas vidare i nätverket. Det är oklart om det krävs någon lösensumma, utan preliminär information pekar på att attackens syfte är att sabotera verksamheten för att kraftigt minska bolagets operationella förmåga. Så snart attacken upptäcktes ”drog man ut sladden” ur 22 000 datorer och system, vilket således också påverkade icke infekterade enheter. I slutändan innebär attacken avbrott och minskad produktion av aluminium. Vem som kan ha dessa avsikter kan vi än så länge bara spekulera i.

“Riktade attacker av detta slag kommer bara bli vanligare. Tyvärr tror många att ransomware är ovanligt. Nästa gång kan det mycket väl vara just din verksamhet som drabbas. Att attacken mot Norsk Hydro har fått stor uppmärksamhet är dels beroende på att Norsk Hydro haft ett relativt transparent förhållningssätt till attacken och att de är ett stort börsnoterat bolag där det finns en upplysningsskyldighet.”, säger Jonas Lejon säkerhetsspecialist och medlem i Holm Securitys Advisory Board.

Ransomware & LockerGoga

Ransomware, på svenska kallat utpressningsprogram eller gisslanprogram är en typ av skadlig programvara vars syfte ofta är utpressning genom att ta filer som gisslan via kryptering. Programvaran utnyttjar ibland sårbarheter i systemen för att sprida sig. För att häva krypteringen eller återfå kontrollen över datorn kräver utpressaren en lösensumma, ofta i spårningslös valuta såsom Bitcoin, eller eventuellt annan handling som gynnar förövaren som ligger bakom programmet. Ofta ökar lösensumman successivt efter en tidsfrist på ett par dagar för att stressa företaget.

LockerGoga krypterar bland annat dokument och PDF-filer, kalkylblad och PowerPoint-filer, samt JavaScript och Python-filer. Här är några av de filtillägg som LockerGoga inriktar sig på att kryptera: .doc, .dot, .docx, .docb, .dotx, .wkb, .xlm, .xml, .xls, .xlsx, .xlt, .xltx,. xls. xlsb, .xlw, .ppt, .pps, .pot, .ppsx, .pptx, .posx, .potx, .sldx, .pdf, .db, .sql, .cs, .ts, .js, .py.

Hur skyddar jag min organisation?

Håll era system uppdaterade – och säkerställa att de verkligen är uppdaterade.
Träna era användare att vara motståndskraftiga mot attacker via e-post.
Ta kontinuerliga backuper.
Begränsa användarnas rättigheter.
Ha ett antivirus installerat och säkerställ att det är uppdaterat.
Ha en säker gateway för er e-post som stoppar attacker via e-post.
Skapa en säkerhetsmedveten kultur i er organisation genom inte minst kontinuerlig utbildning
och träning. Säkerhetsarbetet måste prioriteras ändå uppifrån styrelsen och sedan sträcka sig ner till slutanvändaren.

Läs mer

Se Norsk Hydros egen presskonferens om hacket (extern länk): https://webtv.hegnar.no/presentation.php?webcastId=97819442
Läs Norsk Hydros egna nyhetsrapportering om hacket (extern länk): https://www.hydro.com/en-SE/media/news/
Läs Norsk Hydros egna rapport om hacket (extern länk): https://www.hydro.com/Document/Index?name=General%20cyber-attack%20presentation%20April%2012.pdf&id=282

Sätt upp ditt cyberförsvar idag! 👇

Holm Security utgör grunden i ett modernt skydd mot cyberbrottslighet.

Visa hela inlägget