“Malware LockerGoga, který údajně zašifroval složky v počítačích norského výrobce hliníkových produktů Norsk Hydro, je poměrně novou rodinou ransomwarových trojských koní, které detekujeme jako Trojan-Ransom.Win32.Crypren. Jde o poměrně závažný útok, který dokládá, že svět prozatím není schopen čelit útokům na kritickou infrastrukturu. Na vině kromě jiného může být i podcenění těchto rizik ze strany firem a organizací spadajících do energetického, těžařského, finančního nebo zdravotnického sektoru. Podle našeho průzkumu až 61 % těchto subjektů nepovažuje zavedení IoT do svých ICS/OT systémů jako riziko pro svou kybernetickou bezpečnost.
Je velmi dobře, že Norsk Hydro odmítlo přistoupit na podmínky hackerů a zaplatit výkupné. V jejich prospěch také hovoří, že prováděli bezpečnostní zálohy, které nyní mohou ihned využít. Bez nich by totiž škody způsobené podobným útokem byly daleko horší. K prozatímním minimálním škodám přispěl i fakt, že výrobní zařízení jsou oddělené od hlavní firemní sítě. Nedošlo tak k jejich ovlivnění. Zabezpečit složitou průmyslovou organizaci jakou je továrna nebo slévárna je velmi náročné, protože se její infrastruktura skládá z velkého množství jednotlivých částí. Jakákoliv zranitelnost i v té nejméně důležité z nich může hackerům sloužit jako vstupní dveře do celé sítě,“ komentuje Vladimír Daschenko, bezpečnostní odborník ze společnosti Kaspersky Lab.
Podobným ransomwarovým útokům mohou organizace předejít díky:
- Pravidelným bezpečnostním auditům
- Pravidelným bezpečnostním zálohám
- Včasným aktualizacím softwaru v celé firemní infrastruktuře
- Kyberbezpečnostním školením zaměstnanců
- Používání účinných bezpečnostních řešení jako je Kaspersky Endpoint Security
Otázky a odpovědi
Co je LockerGoga?
LockerGoga je ransomware, který hackeři používají k cíleným útokům na řadu subjektů od ledna tohoto roku. Tento software používají pouze k zašifrování určitých složek na pevných discích napadených počítačů. Není vybaven žádným automatickým lateralizačním nebo komunikačním mechanismem, kterým by mohl komunikovat se servery útočníků. Oběti jsou vyzvány, aby za účelem odemčení svých složek kontaktovali útočníky prostřednictvím dvou e-mailových adres uvedených v oznámení o výkupném.
Jak se LockerGoga šíří?
Útočníci spojovaní s LockerGoga cílí na počítačové sítě vybraných subjektů (lukrativní cíle). Proniknou do jejich sítě, aby nad nimi získali plnou kontrolu. Poté, co toho dosáhnou, rozšíří na síťové počítače a servery ransomware LockerGoga prostřednictvím adresářových služeb group policies nebo za pomoci služeb jako je PSExec.
Jaký je rozdíl mezi LockerGoga a NotPetya/WannaCry?
WannaCry a NotPetya byly sabotážní programy, které se chovaly jako ransomwarový software, a za jejichž vytvořením s největší pravděpodobností stáli státem podporovaní útočníci. Tyto dva programy také měly svůj vlastní způsob lateralizace, aby se automaticky rozšířily do sítě oběti. LockerGoga žádné tyto prostředky nemá, a proto ho musí útočník v napadené síti rozšířit až poté, co v ní získá plná práva.
Známe identitu útočníků?
Ransomware LockerGoga je považován za „pokročilou kybernetickou hrozbu“, která využívá stejné techniky a nástroje jako útočníci využívající pokročilé trvalé hrozby APT. Za útok LockerGoga nemusí být zodpovědní stejní pachatelé, kteří provedli prvotní nabourání do firemní sítě. Stejně tak i škodlivý kód si lze na dark webu koupit od třetí strany.
Scénář útoku tak mohl vypadat například následovně: jeden aktér mohl zaplatit za vývoj LockerGoga, druhý prodat certifikát pro podepsání škodlivého kódu, další účastník může být najatý na rozšíření backdooru který využijí operátoři, a ti nakonec provedou lateralizační manévr v napadené síti a rozšíří LockerGoga. Jak se dostal malware do sítě Norsk Hydro ale nevíme. V lednu byl backdoor, který používají útočníci LockerGoga, vydán jako Exploit Kit skrz pornografickou stránku.