Het ransomware-incident bij Norsk Hydro: LockerGoga versleutelt werkelijk alles, zeggen onderzoekers van F-Secure

Cyberaanvallen op bedrijven halen voortdurend het nieuws. Het laatste slachtoffer is een Noorse multinational die aluminium produceert.

De IT-systemen van Norsk Hydro werden recentelijk in de woorden van de multinational getroffen door een “uitgebreide cyberaanval die van invloed was op processen binnen diverse bedrijfsonderdelen”. Medewerkers die op het werk arriveerden, kregen het advies om geen verbinding met het netwerk te maken. Apparaten die automatisch een verbinding met het netwerk maakten moesten worden uitgeschakeld, en alle bestaande verbindingen vanaf mobiele apparaten moesten worden verbroken.

De IT-afdeling van Norsk Hydro, de nationale veiligheidsautoriteit (NSM) van Noorwegen, de militaire inlichtingendienst (e-tjenesten) en externe cybersecurity-partners gingen daarop van start met hun onderzoek naar het incident. Alle faciliteiten en bedrijfsactiviteiten werden geïsoleerd, en het personeel moest waar mogelijk gebruikmaken van handmatige procedures. Dit was nodig voor het “waarborgen van veilige bedrijfsprocessen en het minimaliseren van de financiële gevolgen en impact op de bedrijfsvoering”.

LockerGoga

De werkelijke oorzaak van de aanval is naar verluid de ransomware LockerGoga. Deze richt zijn pijlen op Active Directory (AD), een door Microsoft ontwikkelde oplossing voor het beheer van Windows-netwerken. De atypische ransomware schakelt alle netwerkinterfaces uit, verbreekt de verbinding tussen apparaten en het netwerk, treft diverse pc’s en servers tegelijk en probeert zich beheerdersrechten toe te eigenen.

Na het uitvoeren van bepaalde instructies gaat de ransomware direct van start met het versleutelen van alle bestanden die het maar tegenkomt. Hiertoe maakt LockerGoga gebruik van Boost-libraries en CryptoPP. De ransomware versleutelt zelfs .exe- en .dll-bestanden in de map Program Files en berokkent schade aan allerhande onderdelen van besmette machines, met uitzondering van C:\Windows en onderliggende mappen. Versleutelde bestanden krijgen de bestandsextensie “.locked”. LockerGoga laat daarnaast explorer.exe crashen tijdens het encryptieproces.

Volgens de onderzoekers van F-Secure Labs voert de ransomware herhaaldelijk het bestand “net.exe” uit. Het doel hiervan is om de wachtwoorden van gebruikersaccounts te wijzigen. Het nieuwe wachtwoord is telkens “HuHuHUHoHo283283@dJD”, dat als hardgecodeerde tekenreeks in het uitvoerbare bestand is terug te vinden. Ten slotte meldt de ransomware de gebruiker af. Deze kan zich opnieuw aanmelden met behulp van het nieuwe wachtwoord.

LockerGoga kan geheel zonder netwerkverbinding functioneren. De ransomware laat de digitale losgeldbrief Readme_Locked.txt achter in de map ‘Openbaar bureaublad’. Dit is het voor alle gebruikers zichtbare bureaublad. De losgeldbrief is in tegenstelling tot het geavanceerde karakter van de ransomware tamelijk gewoontjes. Er wordt gevraagd om betaling in ruil voor het ontsleutelen van de bestanden.

Tom Van de Wiele, principal security consultant bij F-Secure, helpt bedrijven met het verbeteren van hun beveiliging. Hij zegt dat het belangrijk is om na te gaan wie de cybercriminelen achter deze aanval zouden kunnen zijn. Daarbij moet rekening worden gehouden met het feit dat er ransomware werd gebruikt en dat het doelwit een industriële faciliteit was waarvan het uitvallen politieke en zelfs landelijke gevolgen zou kunnen hebben.

“Ransomware wordt vaak gebruikt door cybercriminelen die zo snel mogelijk geld willen verdienen. Deze aanval zou daarom kunnen worden afgedaan als een opportunistische manier om aan geld te komen en zoveel mogelijk effect te sorteren door een vitale infrastructuur aan te vallen. Het is ook mogelijk dat de ransomware door technisch onderlegde aanvallers is gebruikt als alibi of dekmantel, bijvoorbeeld door staatshackers die willen nagaan hoe een organisatie op cyberaanvallen reageert”, zegt Van de Wiele.

Waarom is de industriële sector zo populair onder cybercriminelen?

De industriële sector behoort tot de populairste doelwitten van cybercriminelen. 86% van alle cyberaanvallen op deze sector zijn gerichte aanvallen. In 66% van alle gevallen is er sprake van hacking. In slechts 34% van alle gevallen wordt er gebruikgemaakt van malware. Hoewel bijna de helft van alle incidenten (47%) gepaard gaat met diefstal van intellectueel eigendom door concurrenten, wordt 53% van alle aanvallen door hackers uitgevoerd die in opdracht van overheden werken. De georganiseerde misdaad is goed voor 35% van alle aanvallen.

Deze sector kampt daarnaast met diverse technologische problemen die het gevolg zijn van het samengaan van IT (informatietechnologie) en OT (operationele technologie). De noodzaak om gegevens uit te wisselen van en naar allerhande verouderde (legacy) besturingssystemen binnen faciliteiten resulteert in een groeiend aantal verbindingen tussen bedrijfsnetwerken en productienetwerken.

Operationele technologie verschilt zowel qua aanpak als prioriteiten van traditionele informatietechnologie. Er zijn minder back-ups beschikbaar binnen OT-omgevingen, en de technologie is in toenemende mate afhankelijk van een kleiner aantal faciliteiten. Elke verstoring binnen de toevoerketen kan daardoor ingrijpende gevolgen hebben. Het consolideren van processen kan ten koste gaan van de veerkracht en de redundantie, en er bovendien nieuwe kritieke zwakheden (single points of failure) ontstaan.

Veel legacy systemen die momenteel worden gebruikt zijn tientallen jaren geleden ontwikkeld, nog voordat het internet in zwang kwam. Cyberaanvallen vormden toen nog geen reële bedreiging. Het geschikt maken van deze systemen voor het internet heeft ze blootgesteld aan aanvallen uit talloze hoeken, omdat de beveiligingsmechanismen die we tegenwoordig vanzelfsprekend achten nooit zijn ingebouwd in deze systemen en de protocollen die ze gebruiken.

Het bijwerken van industriële systemen met beveiligingsupdates is bovendien een complexe opgave, zeker als die systemen optimaal beschikbaar moeten zijn. In dat geval blijft er weinig of geen tijd over voor broodnodige verbeteringen van de beveiliging. Een systeem dat miljoenen euro’s heeft gekost en bedoeld is om tientallen jaren mee te gaan, zal niet zomaar eventjes worden afgedankt en door een nieuw systeem worden ontvangen, zelf niet als het onveilig wordt geacht.

Aanvallen op de toevoerketen van organisaties verlopen vaak via derden, zoals een leverancier of partner. Daarom worden ze ook wel value-chain- of third-party-aanvallen genoemd. Het doel is om bedrijfssystemen binnen te dringen via kwetsbaarheden in het netwerk van derden. Hoewel de zwakste schakel in de beveiligingsketen van een bedrijf buiten de organisatie kan liggen, maken aanvallers in de meeste gevallen misbruik van mensen. De meest voorkomende infectiemethode is dan ook het gebruik van spear phising-mailberichten. Cybercriminelen kiezen vaak hun doelwit uit via diensten als LinkedIn. Ze proberen medewerkers vervolgens om de tuin te leiden met social engineering-trucs.

Aanvalskanaal bij Norsk Hydro

Tom Van de Wiele zegt het volgende over het incident bij Norsk Hydro: “De ransomware die als oorzaak van het incident wordt aangeduid kan uit diverse hoeken zijn gekomen. Het bedrijf is namelijk eigenaar van een industriële faciliteit, en het valt aan te nemen dat er een groot aantal IT-partners en andere dienstverleners bij het beheer daarvan zal zijn betrokken.”

Zo is het mogelijk dat een hacker toevallig of na gericht zoeken op een met het internet verbonden systeem is gestuit, daar toegang toe heeft verkregen en malware naar zoveel mogelijk andere systemen heeft verspreid. Een andere mogelijkheid is dat een leverancier malware binnenliet via diens netwerk of een ander kanaal na besmet te zijn tijdens een opportunistische of gerichte aanval. Een derde mogelijkheid, en de meest waarschijnlijke, is dat iemand binnen Norsk Hydro een e-mailbericht met een kwaadaardige bijlage ontving en hierop geklikt heeft.

Er is nog onvoldoende informatie beschikbaar over de eerste en derde potentiële aanvalskanalen. Tom vermoedt echter dat er bij Norsk Hydro iets mis moet zijn gegaan tijdens het scheiden van het beheernetwerk van het productienetwerk. Het is ook mogelijk dat er sprake was van zo’n grootschalige aanval dat de aanvaller in staat was om zich van het ene netwerk naar het andere te begeven.

“Afgaande op incidenten uit het verleden en onze ervaring met beveiligingsadvies en penetratietests is de tweede optie helaas meestal de boosdoener”, zegt Tom.

Het is niet mogelijk om precies te zeggen wanneer bekend wordt gemaakt welke kwetsbaarheid is misbruikt voor deze geavanceerde aanval. Wat we wel met zekerheid kunnen zeggen, is dat die kwetsbaarheid snel (binnen een paar dagen of zelfs enkele uren) zal worden ingezet voor nieuwe gerichte en opportunistische cyberaanvallen.