Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ransomware treft grote Noorse aluminiumfabrikant

Het Noorse aluminiumbedrijf Norsk Hydro is getroffen door een ransomwareaanval. Wellicht gaat het om het LockerGoga-virus. Volgens het bedrijf is er vooralsnog geen losgeld geëist en zijn de aanvallers onbekend.

De verstoring blijkt uit een facebookbericht van Norsk Hydro. Maandagavond laat werd het bedrijf getroffen door een 'uitgebreide digitale aanval'. In een webcast zegt financieel directeur Eivind Kallevik dat het om een ransomwarevirus gaat en dat de aanvaller contact heeft opgenomen met het bedrijf. Losgeld is echter nog niet geëist en de aanvaller is vooralsnog onbekend. Het bedrijf zegt op dit moment te werken aan een oplossing voor het probleem en is nu data van 'recente' back-ups aan het terughalen.

Reuters en de Noorse omroep NRK zeggen van het NSM te hebben begrepen dat het gaat om het LockerGoga-virus. In de webcast wilde het NSM dat niet bevestigen, maar het erkende wel dat het virus 'een van de theorieën is'. Volgens de NRK werd dat LockerGoga-virus eerder gebruikt bij een aanval tegen het Franse adviesbureau Altran. Dat werd eind januari getroffen door een encryptievirus. Volgens het persbericht van Altran werd die code niet gedetecteerd door 'verdedigingsmechanismes'.

De NRK schrijft dat de LockerGoga-aanval op Norsk Hydro is gecombineerd met een aanval op de Active Directory van de computersystemen. Het aluminium- en energiebedrijf gaat daar zelf niet op in.

Inmiddels heeft Norsk Hydro alle computersystemen wereldwijd van het bedrijfsnetwerk afgesloten om verspreiding en migratie van het virus tegen te gaan. Volgens Norsk Hydro heeft de aanval het bedrijf geen data gekost. Sommige fabrieken werken nu wat langzamer, omdat geautomatiseerde processen nu met de hand moeten worden gedaan.

Norsk Hydro is een aluminium- en energieconcern. Wereldwijd werken er 35.000 mensen, verspreid over veertig landen. In Nederland zijn er drie vestigingen: in Drunen, Hoogezand en Harderwijk. Bij laatstgenoemde stond een deel van de werkzaamheden vandaag stil, schrijft De Stentor.

Het is niet voor het eerst dat een bedrijf wordt getroffen door een ransomewareaanval. Twee jaar geleden werden diverse landen bijvoorbeeld aangevallen door NotPetya. In diezelfde tijd maakte een Zuid-Koreaans hostingsbedrijf bekend bijna een miljoen euro te hebben betaald vanwege ransomware.

Door Hayte Hugo

Stagiair nieuwsredactie

19-03-2019 • 16:29

31 Linkedin Google+

Submitter: Euronitwit

Lees meer

Reacties (31)

Wijzig sortering
Werkzaam bij een van de Nederlandse vestigingen, en sinds het probleem zich vanuit buiten Europa gisteravond heeft verspreid over de rest van de locaties/servers, tot op heden nog geen contact kunnen en mogen maken met het netwerk, zowel intern als extern. Over bedragen, gegevens en downtime wordt zover niet gecommuniceerd, dus de eerste hoop morgenochtend is óf je weer een functionele pc tot je beschikking hebt (vrijwel alles aan werkzaamheden is netwerkgerelateerd), wat je vandaag - tijdens de shutdown - gemist hebt, wat er nog in te halen valt, en bovenal, wat je tot of op maandag aan werk kwijt bent geraakt bij het terughalen van de meest recente back-up.
Zowaar alle installaties zijn waar mogelijk met de laatste versie van een order-/proceslijst handmatig de dag doorgekomen gelukkig, maar zaken als voorbereidingen voor morgen en de rest van de week moeten nog overzien worden aan schade en achterstand, dus met alleen de tijd dat het netwerk globaal en lokaal offline is, is nog lang niet alles gezegd helaas.
Erg vervelend. Maersk heeft door notpetya 10 dagen stilgelegen met een enorme schade als gevolg. Royal kanin was het hele erp systeem kwijt, met daarin alle orders. Beiden hebben het gelukkig overleefd, ik hoop dat Norsk Hydro ook genoeg vet op de botten heeft om deze schade te dragen.
Hoe reageer je hier als bedrijf op, zijn hiervoor richtlijnen o.i.d.? Ik neem aan dat je als groot bedrijf neigt naar het snel betalen van het gevraagde geldbedrag (indien van toepassing), aangezien dat minder kan zijn dan verlies door een productie welke plat ligt.
Hangt er ook van af hoe goed je je disaster recovery op orde hebt. Als je een goed opgezette IT infrastructuur hebt met goede backups moet het ook mogelijk zijn om op relatief korte tijd te herstarten zonder losgeld te betalen aan iemand.
Laten we eerlijk zijn, als je dit al goed ingericht hebt, is de kans dat je door ransomware getroffen wordt ook aanzienlijk minder groot.
Zou betekenen dat je dus juist geen randsomeware zou moeten binnenkrijgen. Vaak is een eindgebruiker die het probleem is.

Maar een goede infra kost bakken met geld
Eindgebruiker of niet, ransomware dat zich over je netwerk verspreid is tegenwoordig goed met technische middelen af te vangen. Google maar eens op IPS/IDS, en SIEM.
Dat zijn middelen die kunnen helpen, maar IPS/IDS helpen weinig bij mailware die ze niet kennen(en die suspicious behaviour checks waar ze zogezegd allemaal zo goed in zijn, werken in de praktijk zelden ), en zelfs met een goed ingericht SIEM kan het kwaad al geschied zijn voordat de monitoring/acties getriggerd worden.
We hebben het in dit nieuwsbericht over een groot bedrijf, met naast kantoor PC-tjes waarschijnlijk allerhande SCADA systemen/netwerken draaien(met een aangepast beveiligingsbeleid, want anders werkt het niet meer).
Wat ik bedoel te zeggen is dat, "goed met technische middelen af te vangen" op z'n minst erg kort door de bocht is, en eigenlijk gewoon onwaar is.
Vaak betalen ze inderdaad die duizenden euro's.
Vervolgens worden dan vervolgstappen ondernomen in alle beveiliging. Mail, Firewall, software etc.
Maar hoe groot is de kans dat je daarmee geholpen wordt?
Vrij groot denk ik. Het kost de daders niets, en zolang de geschiedenis laat zien dat de criminelen zich vaak aan hun woord houden, is de kans ook groter dat in het vervolg andere bedrijven ook weer overwegen te betalen.

Andere optie is meer vragen. Als je individuelen burgers in paniek dit vraagt heb je natuurlijk wel kans op slagen hiermee, maar een bedrijf zal nooit de keuze nemen weer een groot bedrag te betalen en weer het risico te lopen met lege handen thuis te komen.

[Reactie gewijzigd door Turps op 20 maart 2019 00:12]

Dan ga je er van uit dat er een code-of-conduct bij criminelen onderling, ik zou daar niet van uit gaan.

Je vergeet dat ze al iets hebben gedaan wat ze twijfelachtig maakt, waarom ze verder wel vertrouwen (en financieren).
De kans dat naar buiten komt dat er betaald is maar geen oplossing geboden werd is klein, dan zou een bedrijf twee keer imago schade leiden.
Ik vergeet niets, dit hele model gaat er vanuit dat je slachtoffers je vertrouwen. Dezelfde criminelen kunnen meerdere bedrijven aanvallen. Dat criminelen hierbij andere criminelen helpen door het idee dat betalen werkt in stand te houden is dan ook nog eens mooi meegenomen. Nogmaals, geen nadelen dus, wel potentiële indirecte voordelen. Het verleden heeft dan ook bewezen dat betalen inderdaad werkt (meerdere links in deze thread)
Ik denk niet dat hier een "one size fits all" oplossing voor is. Betalen klinkt inderdaad zeer aantrekkelijk in dit geval, zelfs zo aantrekkelijk dat het me niet zou verbazen als er na een betaling weer op nieuw om geld gevraagd wordt.
Dat lijkt me domals virusbouwer omdat je dan je betrouwbaarheid schaadt. Dan betaalt niemand meer omdat er geen "zekerheid" is dat je je bestanden terugkrijgt. (Zekerheid heb je sowieso niet, vandaar tussen haakjes)
Ik vind dat je het woord 'betrouwbaarheid' hier ook wel tussen haakjes mag zetten.
Als je al iemand (in dit geval een bedrijf) hebt aangevallen en gegijzeld is betrouwbaarheid wat mij betreft niet langer van toepassing.
Er is geen garantie dat je weer toegang krijgt na het betalen dus ik zou niet betalen. Bij sommige varianten van Ransomware kunnen de originele bestanden niet eens worden hersteld.
Die garantie heb je niet, maar bijna altijd heb je de toegang wel. Stel dat de eigenaar van de ransomware je de ontsleutelcode niet geeft en hij gaat naar zijn volgende doelwit. Waarom zou dat doelwit nog betalen? Er is namelijk al aangetoond dat je de sleutels toch niet krijgt.
van alle bedrijven waarvoor ik werk en ze slachtoffer geweest zijn van dergelijke aanval is het terug zetten van recente backup's de eerst methode.
tot nu toe geen andere methode nodig gehad want dat was voldoende.

ook in het artikel staat er duidelijk dat ze de data teruggehaald hebben van een recente backup.
Dit is best een dingetje. Bij een reguliere storing is het een kwestie van de boel starten en weer gaan. Met een virusuitbraak kun je niets meer vertrouwen, je moet allesverifiëren of herinstalleren voordat je het weer kunt gebruiken. Daar gaat wel ff tijd en effort in zitten.
Inderdaad. Ik weet uit betrouwbare bron dat ze bij Ranson 33k betaald hebben en alles vervolgens netjes gedecrypt is geweest.

(https://m.hln.be/regio/ha...e-kunnen-werken~a16df364/)

De kost ervan is veel lager gezien hun dagomzet die ze anders mislopen, los van het verlies van data.
Je neemt goeie mensen in dienst en hebt een Info security afdeling. Die goeie protocollen en procedures maakt en controleerd. Daarnaast begint alles met awareness bij het gewone personeel.
Zelfs hun website hebben ze zo te zien plat gegooit.
Kan me voorstellen dat ze asap alle systemen hebben losgekoppeld en de DNS van de webpage hebben verwezen naar een ander webservertje voor deze melding.
het gaat hier om een serieus bedrijf (35.000 medewerkers)

Een van de aanvalstechnieken is het vernietigen van alle on-line backups voorbeeld, vervolgens de servers versleutelen en dan een serieuze ransom vragen. Aangezien ze nog backups hebben, hebben ze te maken met minder geavanceerde hackers óf hebben ze offline backups.

wat in dit geval is gebeurt, krijgen we hopelijk nog wel op de een of ander anier te horen.

[Reactie gewijzigd door burnedhardware op 19 maart 2019 17:58]

ik hoop op offline backups. wel zo verstandig als je data zo belangrijk is...
Enkele dagen geleden ontving ik een sollicitatie, met een "docx" bijlage, keurig geschreven mailtje, dus ik kan me voorstellen dat velen gewoon dat Word bestand openen. Mijn virusscanner had hem gelukkig al uitgeschakeld.
Dat is de ellende, het is het stadium van brak vertaald voorbij. Ik heb voorbeelden gezien van mails die lijken op die van collega's en pas als je twee keer kijkt zie je dat het nep is.

Van de andere kant stuurde afgelopen week iemand vanuit de Duitse holding per ongeluk een PDF-factuur naar alle gebruikers in de Nederlandse vestiging. Had ik toch in heel korte tijd 5 gebruikers aan de lijn, voor ik het mailtje klaar had dat het loos alarm was... Blijkbaar toch redelijk gedrild. Helpt ook dat we al eens iemand gehad hebben die een cryptolocker vrij liet met beperkte gevolgen, dat maakt toch indruk denk ik.

Maar de eerste gisteren had 'm wel geopend, ddww. Morgen dit artikel maar weer de organisatie in slingeren ter herinnering. Warm houden is het devies.
Het zou al flink helpen als meer domeinen hard-fail SPF records zouden hebben.
Dan is een mailtje sturen in iemand anders zijn naam een heel stuk lastiger.
Iemand iets geopend en op OKE geklikt zeker....
de zwakste schakel is de mens
Ja, voornamelijk de software ontwikkelaar. Want hoe je het went of keert, het openen van een bijvoorbeeld bijlage zou nooit mogen leiden tot de complete overname van de complete IT infrastructuur.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True