LockerGoga – Angriffswelle auf grosse Unternehmen in Europa und USA

/Blog
Erstellt von Vladimiras Popovas

Nach einer Ransomware-Attacke herrschte bei Norsk Hydro der Ausnahmezustand. Zahlreiche IT-Systeme sind beim norwegische Aluminiumhersteller ausgefallen und Teile der Produktion standen still. Lösegeldforderungen, fallender Börsenkurs, steigender Aluminiumpreis, Reputationsschaden waren die Folgen.

Am 19. März war der norwegische Aluminiumhersteller Norsk Hydro weltweit in den Nachrichten. Dabei ging es jedoch nicht um den Geschäftsgang oder um Aluminium. Dabei ging es leider um Cybersicherheit und Ransomware. Was ist passiert? Wie Norks Hydro kommunizierte, hat am Montag, den 18.03.2019, der Ransomware-Angriff im US-Werk von Norsk Hydro begonnen. Dabei wurden so viele Systeme gesperrt, dass als Reaktion darauf in vielen Fabriken die Produktion auf manuelle Prozesse umgestellt werden musste. Um einen ordnungsgemässen Betrieb zu gewährleisten mussten in der Folge viel mehr Mitarbeiter im Schichtbetrieb arbeiten. Neben den Werken in Norwegen berichtet Reuters, dass einige Werke in Katar und Brasilien ebenfalls getroffen und manuell betrieben wurden. Norsk Hydro CFO Eivind Kallevik sagte. "Das gesamte weltweite Netzwerk ist ausgefallen, was sich sowohl auf unsere Produktion als auch auf unseren Bürobetrieb auswirkt. Wir arbeiten intensiv daran, die Situation einzudämmen und in den Griff zu bekommen sowie die Sicherheit unserer Mitarbeiter zu gewährleisten." (Quelle: arstechnica.com)

Ein ähnlicher Angriff erfolgte bereits am 24.01.2019 gegen das grosse französische Ingenieurunternehmen Altran. (Quelle: bleepingcomputer.com)

Wie das Online-Magazin «Motherboard» am Samstag bekannt gab, wurden zwei weitere US-Unternehmen, die Chemikalien produzieren (Hexion und Momentive), ebenfalls von derselben Ransomware getroffen. Da die beiden US-Unternehmen Ableger in Europa haben, wäre es interessant zu wissen, warum diese nicht entsprechend der GDPR-Richtlinie informiert haben. (Quelle: motherboard.vice.com)

Ein näherer Blick auf die Ransomware 

Die Ransomware ist bekannt als «LockerGoga». Interessanterweise konnten wir feststellen, dass AV's «LockerGoga» nicht erkannt haben, obwohl das Sample nicht einmal verschlüsselt oder komprimiert wurde: Siehe twitter.com. Bemerkenswert ist das Datum des Tweets 08.03.2019 – also 10 Tage vor dem Angriff auf Norsk Hydro. Unter folgendem Link kann die Anzahl der Detektionen am Tag der Einreichung dieses Samples sehen: virustotal.com

LockerGoga Merkmale:

  • Die Ransomware kommuniziert nicht mit der Aussenwelt (Kein Netzwerkverkehr)
  • Verwendet eine Multiprozess-Architektur, um Dateien schneller zu verschlüsseln
  • Sperrt neben der Dateiverschlüsselung auch das Benutzer- und Administratorkonto
  • Signiert mit gültigem Zertifikat (welches jedoch nachträglich widerrufen wurde)
  • Ist laufend aktualisiert und es existieren bereits mehrere Versionen dieser Ransomware
  • Verbreitet sich nicht von selbst, aber es gibt starke Hinweise darauf, dass während des Norsk-Hydro-Angriffs die Malware über den Active Directory-Server verbreitet wurde

Wie verteidigt man sich dagegen?  

Wir können sehen, dass, obwohl diese Ransomware von einigen Sicherheitsforschern als relativ einfach bezeichnet wird, sie eine hohe Erfolgsrate bei der Infektion grosser Unternehmen und der Unterbrechung ihrer Geschäftstätigkeiten, der Zerstörung aller E-Mail-Daten, der Beeinträchtigung der Funktionalität von öffentlich zugänglichen Websites, usw. hat. Ein weiterer Haken dieser Ransomware ist, dass traditionelle, signaturbasierte AV-Software nicht in der Lage ist, diese zu erkennen.

Wie hätte man also gegen diese Malware vorgehen können? Auch wenn wir nicht 100% der Details über den Angriff von Norsk Hydro haben und vor allem darüber, wie die Angreifer die Kontrolle über den Active Directory-Server erlangt haben, gibt es einige Möglichkeiten, einen solchen Angriff frühzeitig zu erkennen oder ihn sogar zu verhindern.

Verhaltensanalyse und -überwachung
Durch die Verwendung der Carbon Black-Lösung zum Schutz der Daten, hätte das Cybersecurity-Team des angegriffenen Unternehmens eine Warnung erhalten oder sogar Aktivitäten mit verdächtigem Verhalten auf einem Endpunkt unterbinden können.

Mit dem ISPIN Managed Threat Detection Service, basierend auf Carbon Black, erhalten Sie eine transparente Sicht auf alle Netzwerk- und Endpoint-Aktivitäten, welche Ihnen ein hocheffektives Incident Response ermöglicht.

Geschützt durch ISPIN Cyber Defense Services

Durch die ISPIN SIEM-Lösung können Protokolle aus verschiedenen Quellen, einschliesslich Active Directory, korreliert werden. Durch das ISPIN SOC würden Sie bei:

  • verdächtigem Verhalten des Active Directory-Servers,
  • zu häufigen Änderungen von Benutzerpasswörtern oder bei
  • einer übermässige Anzahl neuer Dienste oder geplanter Aufgaben

Warnmeldungen erhalten um rasch darauf reagieren zu können. In Anbetracht der Angriffsphase, um die Kontrolle über den Active Directory-Server zu erlangen, ist es auch sehr wahrscheinlich, dass ein «Mimikatz»- oder «Pass the Hash»-Angriff verwendet wurde, was wiederum Warnungen in unserem Cyber Defense Center auslöst.

ISPIN-TIPP 
Für einen schnell umsetzbaren Schutz gegen Ransomware bietet Kaspersky eine kostenlose Lösung an. ISPIN empfiehlt alle Sicherheitslösungen im Managed Kontext einzusetzen.  

Zusammen. Sicher.

Die Spezialisten der ISPIN stehen Ihnen gerne mit Rat und ausgefeilten Cyber Defense Services zur Verfügung.

Kontaktieren Sie uns für ein persönliches Gespräch via Kontaktformular oder +41 44 838 3111.