LockerGoga, noul tip de ransomware, se năpustește asupra firmelor industriale

LockerGoga, noul tip de ransomware, se năpustește asupra firmelor industriale

65

BIO

Mária Bicsi este Prince2 certified Project Manager, cu experienţă internaţională în mediile multinaţionale. Are studii superioare în Economie și Psihologie, precum și un Master în Resurse Umane. Ea crede în învăţământul continuu, ceea ce i-a permis să-şi dezvolte aptitudinile în domeniul Cybersecurity. În cadrul firmei PSYND, este manager de proiect specializat în Identity and Access Management (IAM) şi Privileged Access Management (PAM). În plus, oferă, de asemenea, formare şi conştientizare în câmpul Cybersecurity, ajutând clienţii cu implementarea standardelor ISO2700x, şi în respectarea normelor FINMA/GDPR.  Este co-fondator şi manager al comunităţii Swiss-CyberSecurity, o asociaţie care a fost creată pentru a ridica nivelul de conştientizare şi pentru a ajuta oamenii şi firmele să trăiască într-o lume mai sigură. De asemenea, a iniţiat conferinţa “Zero-Day”, ce a mai mare conferinţă de strategie Cybersecurity realizată vreodată în Geneva.


Dacă zicem: WannaCry, NonPetya sau BadRabbit, știm deja cu toții că ne aflăm în pericol, și este vorba de un ransomware. De mai mult de zece ani acest tip de atac cibernetic paralizează mii și mii de companii, organizații guvernamentale și instituții din întreaga lume. Ransomware continuă să fie din ce în ce mai popular, determinând Verizon să-l numească în top-cinci pe lista amenințărilor cibernetice. Ransomware este un tip de malware care blochează tastatura sau computerul până când se plătește o recompensă, de obicei în Bitcoin sau alte criptomonede. Atacantul criptează datele de pe calculator și va transmite cheia de decriptare victimei doar după primirea sumei. Aproape 60% din atacurile ransomware sunt trimise prin e-mail ca adrese URL integrate. În data de 19 martie 2019 compania norvegiană de industria aluminiului, Norsk Hydro, a fost victima unui atac cibernetic de tip ransomware, așa numitul LockerGoga. Compania a dat de veste cele întâmplate pe pagina de Facebook, încercând să calmeze personalul și să dea explicaţii asupra situaţiei:

Mesajul era clar: „incapacitate de conectare la sistemele de producţie care determină unele provocări la acest nivel și oprirea temporară a mai multor fabrici.” În unele cazuri s-a trecut la procese manuale. Compania a ţinut la curent angajaţii, partenerii și clienţii prin Facebook până ce s-a restabilit pagina web, în data de 20 martie. Graficul 1: Top 20 tipuri de ameninţări – Verizon: 2018 Data Breach Investigations Report

 

Conform declaraţiei directorului sistemelor informatice, Jo De Vliegher, s-au depus eforturi considerabile pentru restabilirea sistemului.

“Recuperarea sigură a operațiunilor IT de la Hydro este prioritatea noastră principală, în timp ce facem tot posibilul pentru a limita orice impact asupra clienților, furnizorilor și altor parteneri ai companiei Hydro”

spune De Vliegher.

Ce s-a întâmplat?

Cercetările ulterioare au arătat că ransomware-ul a fost plasat și executat de un PsExec. Deoarece PsExec necesită log-in, credem că parolele au fost deja achiziţionate mult înainte de atac prin alte metode, ca spear-phishing sau un alt tip de malware, poate chiar cumpărate de pe darknet. Aceasta ar putea însemna că reţeaua a fost deja compromisă și că atacatorii au efectuat mișcări laterale ajungând până la administratori cu drepturi privilegiate. Odată ajunși, schimbă parolele, dezactivează anti-virusurile de pe sistem și încep criptarea fișierelor. Acest tip de ransomware este relativ nou, primul fiind publicat în ianuarie 2019 în comunicatul de presă al firmei Altran Technologies. Deși nu avem momentan o multitudine de cazuri pentru a analiza și compara, putem identifica anumite caracteristici. folosește chei pentru criptare ușoare, RSA-1024, în acest fel nu încetinește procesul, și are deja liste pre-definite, excluzând fișiere mai mici de 256 bytes pentru a executa cât mai rapid. În mesajul afișat pe desktop README NOW.txt este menţionat algoritmul militar RSA4096 și AES-256 pentru a da impresia că decriptarea ar fi imposibilă.

Imaginea 1: Exemplu de mesaj ransom

La finalul mesajului se urgentează plata fiind menţionat că se poate efectua în Bitcoin, și că preţul va fi negociat în funcţie de rapiditatea răspunsului.

Imaginea 2: Exemplu de mesaj ransom

Ce putem face?

Majoritatea recomandărilor anti-ransomware sunt identice:

•Back-up în mod constant

•Adoptarea unui Patch Management

•Introducerea și menţinerea unei culturi de cybersec în organizaţie

•Monitorizarea comportamentului utilizatorilor

 

Autor: Mária Bicsi, Fondator, Swiss-CyberSecurity