Ransomware treft grote Noorse aluminiumfabrikant

Het Noorse aluminiumbedrijf Norsk Hydro is getroffen door een ransomwareaanval. Wellicht gaat het om het LockerGoga-virus. Volgens het bedrijf is er vooralsnog geen losgeld geëist en zijn de aanvallers onbekend.

De verstoring blijkt uit een facebookbericht van Norsk Hydro. Maandagavond laat werd het bedrijf getroffen door een 'uitgebreide digitale aanval'. In een webcast zegt financieel directeur Eivind Kallevik dat het om een ransomwarevirus gaat en dat de aanvaller contact heeft opgenomen met het bedrijf. Losgeld is echter nog niet geëist en de aanvaller is vooralsnog onbekend. Het bedrijf zegt op dit moment te werken aan een oplossing voor het probleem en is nu data van 'recente' back-ups aan het terughalen.

Reuters en de Noorse omroep NRK zeggen van het NSM te hebben begrepen dat het gaat om het LockerGoga-virus. In de webcast wilde het NSM dat niet bevestigen, maar het erkende wel dat het virus 'een van de theorieën is'. Volgens de NRK werd dat LockerGoga-virus eerder gebruikt bij een aanval tegen het Franse adviesbureau Altran. Dat werd eind januari getroffen door een encryptievirus. Volgens het persbericht van Altran werd die code niet gedetecteerd door 'verdedigingsmechanismes'.

De NRK schrijft dat de LockerGoga-aanval op Norsk Hydro is gecombineerd met een aanval op de Active Directory van de computersystemen. Het aluminium- en energiebedrijf gaat daar zelf niet op in.

Inmiddels heeft Norsk Hydro alle computersystemen wereldwijd van het bedrijfsnetwerk afgesloten om verspreiding en migratie van het virus tegen te gaan. Volgens Norsk Hydro heeft de aanval het bedrijf geen data gekost. Sommige fabrieken werken nu wat langzamer, omdat geautomatiseerde processen nu met de hand moeten worden gedaan.

Norsk Hydro is een aluminium- en energieconcern. Wereldwijd werken er 35.000 mensen, verspreid over veertig landen. In Nederland zijn er drie vestigingen: in Drunen, Hoogezand en Harderwijk. Bij laatstgenoemde stond een deel van de werkzaamheden vandaag stil, schrijft De Stentor.

Het is niet voor het eerst dat een bedrijf wordt getroffen door een ransomewareaanval. Twee jaar geleden werden diverse landen bijvoorbeeld aangevallen door NotPetya. In diezelfde tijd maakte een Zuid-Koreaans hostingsbedrijf bekend bijna een miljoen euro te hebben betaald vanwege ransomware.

Door Hayte Hugo

Redacteur

Feedback • 19-03-2019 16:29
31 • submitter: Euronitwit

19-03-2019 • 16:29

31

Submitter: Euronitwit

Lees meer

Productie Norsk Hydro is bijna hersteld na ransomwareaanval
Productie Norsk Hydro is bijna hersteld na ransomwareaanval Nieuws van 8 april 2019
Gijzelsoftware Anatova treft ook computersystemen in Nederland en België
Gijzelsoftware Anatova treft ook computersystemen in Nederland en België Nieuws van 23 januari 2019
Britse NHS schat kosten van WannaCry-aanval op ruim 100 miljoen euro
Britse NHS schat kosten van WannaCry-aanval op ruim 100 miljoen euro Nieuws van 12 oktober 2018
Criminelen verspreiden GandCrab-ransomware in Nederland via sollicitatiemails
Criminelen verspreiden GandCrab-ransomware in Nederland via sollicitatiemails Nieuws van 3 oktober 2018
Rechter legt 240 uur taakstraf op aan Nederlanders achter Coinvault-ransomware
Rechter legt 240 uur taakstraf op aan Nederlanders achter Coinvault-ransomware Nieuws van 26 juli 2018
'Coinvault-ransomware trof veel meer dan 1259 computersystemen'
'Coinvault-ransomware trof veel meer dan 1259 computersystemen' Nieuws van 13 juli 2018
OM eist cel- en taakstraf tegen verdachten achter Coinvault-ransomware
OM eist cel- en taakstraf tegen verdachten achter Coinvault-ransomware Nieuws van 12 juli 2018
'Nieuwe versie van ransomwarevariant kiest tussen versleutelen en cryptomining'
'Nieuwe versie van ransomwarevariant kiest tussen versleutelen en cryptomining' Nieuws van 6 juli 2018
Klein aantal Boeing-computers is getroffen door WannaCry-malware
Klein aantal Boeing-computers is getroffen door WannaCry-malware Nieuws van 29 maart 2018
Premie-inkomen uit 'cyberverzekeringen' is verdubbeld in Nederland
Premie-inkomen uit 'cyberverzekeringen' is verdubbeld in Nederland Nieuws van 26 maart 2018
Britse regering zegt dat Rusland achter de NotPetya-aanvallen zat
Britse regering zegt dat Rusland achter de NotPetya-aanvallen zat Nieuws van 15 februari 2018
Aantal beschikbare No More Ransom-decryptiesleutels groeit naar 52
Aantal beschikbare No More Ransom-decryptiesleutels groeit naar 52 Nieuws van 9 februari 2018
Maersk herinstalleerde 45.000 pc's in 10 dagen na NotPetya-aanval
Maersk herinstalleerde 45.000 pc's in 10 dagen na NotPetya-aanval Nieuws van 25 januari 2018
Grote ransomwareaanval treft organisaties meerdere landen - update
Grote ransomwareaanval treft organisaties meerdere landen - update Nieuws van 27 juni 2017
Zuid-Koreaans hostingbedrijf betaalt bijna 1 miljoen euro door ransomware
Zuid-Koreaans hostingbedrijf betaalt bijna 1 miljoen euro door ransomware Nieuws van 20 juni 2017
Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat - update
Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat - update Nieuws van 12 mei 2017
Meer producten en artikelen
Netwerk en systeembeheer Cybercrime Nederland Ransomware

Reacties (31)

-Moderatie-faq
31
31
23
2
0
7
Wijzig sortering

Sorteer op:

Weergave:
Maharadjah 19 maart 2019 19:59
Werkzaam bij een van de Nederlandse vestigingen, en sinds het probleem zich vanuit buiten Europa gisteravond heeft verspreid over de rest van de locaties/servers, tot op heden nog geen contact kunnen en mogen maken met het netwerk, zowel intern als extern. Over bedragen, gegevens en downtime wordt zover niet gecommuniceerd, dus de eerste hoop morgenochtend is óf je weer een functionele pc tot je beschikking hebt (vrijwel alles aan werkzaamheden is netwerkgerelateerd), wat je vandaag - tijdens de shutdown - gemist hebt, wat er nog in te halen valt, en bovenal, wat je tot of op maandag aan werk kwijt bent geraakt bij het terughalen van de meest recente back-up.
Zowaar alle installaties zijn waar mogelijk met de laatste versie van een order-/proceslijst handmatig de dag doorgekomen gelukkig, maar zaken als voorbereidingen voor morgen en de rest van de week moeten nog overzien worden aan schade en achterstand, dus met alleen de tijd dat het netwerk globaal en lokaal offline is, is nog lang niet alles gezegd helaas.
burnedhardware @Maharadjah19 maart 2019 21:23
Erg vervelend. Maersk heeft door notpetya 10 dagen stilgelegen met een enorme schade als gevolg. Royal kanin was het hele erp systeem kwijt, met daarin alle orders. Beiden hebben het gelukkig overleefd, ik hoop dat Norsk Hydro ook genoeg vet op de botten heeft om deze schade te dragen.
almightyarjen 19 maart 2019 16:40
Hoe reageer je hier als bedrijf op, zijn hiervoor richtlijnen o.i.d.? Ik neem aan dat je als groot bedrijf neigt naar het snel betalen van het gevraagde geldbedrag (indien van toepassing), aangezien dat minder kan zijn dan verlies door een productie welke plat ligt.
Blokker_1999
@almightyarjen19 maart 2019 16:44
Hangt er ook van af hoe goed je je disaster recovery op orde hebt. Als je een goed opgezette IT infrastructuur hebt met goede backups moet het ook mogelijk zijn om op relatief korte tijd te herstarten zonder losgeld te betalen aan iemand.
True @Blokker_199919 maart 2019 17:12
Laten we eerlijk zijn, als je dit al goed ingericht hebt, is de kans dat je door ransomware getroffen wordt ook aanzienlijk minder groot.
theduke1989 @Blokker_199919 maart 2019 17:30
Zou betekenen dat je dus juist geen randsomeware zou moeten binnenkrijgen. Vaak is een eindgebruiker die het probleem is.

Maar een goede infra kost bakken met geld
HeepH @theduke198920 maart 2019 10:07
Eindgebruiker of niet, ransomware dat zich over je netwerk verspreid is tegenwoordig goed met technische middelen af te vangen. Google maar eens op IPS/IDS, en SIEM.
YoMarK @HeepH21 maart 2019 08:51
Dat zijn middelen die kunnen helpen, maar IPS/IDS helpen weinig bij mailware die ze niet kennen(en die suspicious behaviour checks waar ze zogezegd allemaal zo goed in zijn, werken in de praktijk zelden ), en zelfs met een goed ingericht SIEM kan het kwaad al geschied zijn voordat de monitoring/acties getriggerd worden.
We hebben het in dit nieuwsbericht over een groot bedrijf, met naast kantoor PC-tjes waarschijnlijk allerhande SCADA systemen/netwerken draaien(met een aangepast beveiligingsbeleid, want anders werkt het niet meer).
Wat ik bedoel te zeggen is dat, "goed met technische middelen af te vangen" op z'n minst erg kort door de bocht is, en eigenlijk gewoon onwaar is.
Agent47 @almightyarjen19 maart 2019 16:43
Vaak betalen ze inderdaad die duizenden euro's.
Vervolgens worden dan vervolgstappen ondernomen in alle beveiliging. Mail, Firewall, software etc.
Bender @Agent4719 maart 2019 18:32
Maar hoe groot is de kans dat je daarmee geholpen wordt?
Turps @Bender20 maart 2019 00:11
Vrij groot denk ik. Het kost de daders niets, en zolang de geschiedenis laat zien dat de criminelen zich vaak aan hun woord houden, is de kans ook groter dat in het vervolg andere bedrijven ook weer overwegen te betalen.

Andere optie is meer vragen. Als je individuelen burgers in paniek dit vraagt heb je natuurlijk wel kans op slagen hiermee, maar een bedrijf zal nooit de keuze nemen weer een groot bedrag te betalen en weer het risico te lopen met lege handen thuis te komen.

[Reactie gewijzigd door Turps op 25 juli 2024 17:21]

Bender @Turps20 maart 2019 14:41
Dan ga je er van uit dat er een code-of-conduct bij criminelen onderling, ik zou daar niet van uit gaan.

Je vergeet dat ze al iets hebben gedaan wat ze twijfelachtig maakt, waarom ze verder wel vertrouwen (en financieren).
De kans dat naar buiten komt dat er betaald is maar geen oplossing geboden werd is klein, dan zou een bedrijf twee keer imago schade leiden.
Turps @Bender20 maart 2019 15:14
Ik vergeet niets, dit hele model gaat er vanuit dat je slachtoffers je vertrouwen. Dezelfde criminelen kunnen meerdere bedrijven aanvallen. Dat criminelen hierbij andere criminelen helpen door het idee dat betalen werkt in stand te houden is dan ook nog eens mooi meegenomen. Nogmaals, geen nadelen dus, wel potentiële indirecte voordelen. Het verleden heeft dan ook bewezen dat betalen inderdaad werkt (meerdere links in deze thread)
bantoo @almightyarjen19 maart 2019 16:45
Ik denk niet dat hier een "one size fits all" oplossing voor is. Betalen klinkt inderdaad zeer aantrekkelijk in dit geval, zelfs zo aantrekkelijk dat het me niet zou verbazen als er na een betaling weer op nieuw om geld gevraagd wordt.
keranoz @bantoo19 maart 2019 16:54
Dat lijkt me domals virusbouwer omdat je dan je betrouwbaarheid schaadt. Dan betaalt niemand meer omdat er geen "zekerheid" is dat je je bestanden terugkrijgt. (Zekerheid heb je sowieso niet, vandaar tussen haakjes)
BackBones @keranoz20 maart 2019 08:53
Ik vind dat je het woord 'betrouwbaarheid' hier ook wel tussen haakjes mag zetten.
Als je al iemand (in dit geval een bedrijf) hebt aangevallen en gegijzeld is betrouwbaarheid wat mij betreft niet langer van toepassing.
feep @almightyarjen19 maart 2019 16:50
Er is geen garantie dat je weer toegang krijgt na het betalen dus ik zou niet betalen. Bij sommige varianten van Ransomware kunnen de originele bestanden niet eens worden hersteld.
Blokker_1999
@feep19 maart 2019 17:06
Die garantie heb je niet, maar bijna altijd heb je de toegang wel. Stel dat de eigenaar van de ransomware je de ontsleutelcode niet geeft en hij gaat naar zijn volgende doelwit. Waarom zou dat doelwit nog betalen? Er is namelijk al aangetoond dat je de sleutels toch niet krijgt.
bigbadbull @almightyarjen19 maart 2019 16:49
van alle bedrijven waarvoor ik werk en ze slachtoffer geweest zijn van dergelijke aanval is het terug zetten van recente backup's de eerst methode.
tot nu toe geen andere methode nodig gehad want dat was voldoende.

ook in het artikel staat er duidelijk dat ze de data teruggehaald hebben van een recente backup.
curkey @almightyarjen19 maart 2019 17:09
Dit is best een dingetje. Bij een reguliere storing is het een kwestie van de boel starten en weer gaan. Met een virusuitbraak kun je niets meer vertrouwen, je moet allesverifiëren of herinstalleren voordat je het weer kunt gebruiken. Daar gaat wel ff tijd en effort in zitten.
Lambo LP670 SV @almightyarjen19 maart 2019 18:07
Inderdaad. Ik weet uit betrouwbare bron dat ze bij Ranson 33k betaald hebben en alles vervolgens netjes gedecrypt is geweest.

(https://m.hln.be/regio/ha...e-kunnen-werken~a16df364/)

De kost ervan is veel lager gezien hun dagomzet die ze anders mislopen, los van het verlies van data.
Skywalker27 @almightyarjen19 maart 2019 20:13
Je neemt goeie mensen in dienst en hebt een Info security afdeling. Die goeie protocollen en procedures maakt en controleerd. Daarnaast begint alles met awareness bij het gewone personeel.
slijkie 19 maart 2019 16:36
Zelfs hun website hebben ze zo te zien plat gegooit.
Asitis @slijkie19 maart 2019 16:58
Kan me voorstellen dat ze asap alle systemen hebben losgekoppeld en de DNS van de webpage hebben verwezen naar een ander webservertje voor deze melding.
burnedhardware 19 maart 2019 17:56
het gaat hier om een serieus bedrijf (35.000 medewerkers)

Een van de aanvalstechnieken is het vernietigen van alle on-line backups voorbeeld, vervolgens de servers versleutelen en dan een serieuze ransom vragen. Aangezien ze nog backups hebben, hebben ze te maken met minder geavanceerde hackers óf hebben ze offline backups.

wat in dit geval is gebeurt, krijgen we hopelijk nog wel op de een of ander anier te horen.

[Reactie gewijzigd door burnedhardware op 25 juli 2024 17:21]

bilbob @burnedhardware19 maart 2019 19:19
ik hoop op offline backups. wel zo verstandig als je data zo belangrijk is...
Verwijderd 19 maart 2019 21:37
Enkele dagen geleden ontving ik een sollicitatie, met een "docx" bijlage, keurig geschreven mailtje, dus ik kan me voorstellen dat velen gewoon dat Word bestand openen. Mijn virusscanner had hem gelukkig al uitgeschakeld.
Chinco @Verwijderd20 maart 2019 01:11
Dat is de ellende, het is het stadium van brak vertaald voorbij. Ik heb voorbeelden gezien van mails die lijken op die van collega's en pas als je twee keer kijkt zie je dat het nep is.

Van de andere kant stuurde afgelopen week iemand vanuit de Duitse holding per ongeluk een PDF-factuur naar alle gebruikers in de Nederlandse vestiging. Had ik toch in heel korte tijd 5 gebruikers aan de lijn, voor ik het mailtje klaar had dat het loos alarm was... Blijkbaar toch redelijk gedrild. Helpt ook dat we al eens iemand gehad hebben die een cryptolocker vrij liet met beperkte gevolgen, dat maakt toch indruk denk ik.

Maar de eerste gisteren had 'm wel geopend, ddww. Morgen dit artikel maar weer de organisatie in slingeren ter herinnering. Warm houden is het devies.
hackerhater @Chinco20 maart 2019 09:38
Het zou al flink helpen als meer domeinen hard-fail SPF records zouden hebben.
Dan is een mailtje sturen in iemand anders zijn naam een heel stuk lastiger.
vinkjb 19 maart 2019 19:04
Iemand iets geopend en op OKE geklikt zeker....
de zwakste schakel is de mens
Standeman @vinkjb20 maart 2019 08:49
Ja, voornamelijk de software ontwikkelaar. Want hoe je het went of keert, het openen van een bijvoorbeeld bijlage zou nooit mogen leiden tot de complete overname van de complete IT infrastructuur.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq