Slik fungerer løsepengeviruset som rammet Hydro

Viruset låser filer og stenger brukere ute, men kan ikke spre seg videre til andre nettverk på egen hånd. Angrepet kan ha startet med noe så enkelt som en e-post.

Oppslag om cyberangrep på Hydro aluminium Sunndal

Hydros ansatte fikk i går beskjed om å ikke skru på datamaskinene sine eller koble til nettverket.

Foto: Gunnar Sandvik / NRK

Løsepengeviruset som har rammet Hydro går under navnet LockerGoga.

Det ble først kjent i januar i år, da det franske konsulentselskapet Altran Technologies opplyste at de var rammet. Selskapet stengte alle nettverkene sine for å få bukt med viruset.

Det samme har Hydro gjort. Ansatte fikk tirsdag beskjed om å ikke starte datamaskinene sine eller koble på nettverket på jobb.

Problemet er fortsatt ikke løst, men Hydro mener de har klart å identifisere viruset. Produksjonen går som normalt ved de fleste anleggene, men med flere manuelle operasjoner enn vanlig.

Hva gjør viruset?

LockerGoga går løs på brukerkontoene i systemet ved å endre passordene.

Det vil også forsøke å logge alle brukerne av nettverket, og gjemmer seg så i en midlertidig mappe.

Deretter vil det kryptere filer som er lagret på datamaskiner og tilkoblede servere. Det vil også forsøke å slette sikkerhetskopier, skriver datasikkerhetsfirmaet Trend Micro.

Viruset krypterer blant annet Word-dokumenter, Powerpoint-filer, PDF-filer og Excel-filer, samt databaser og videoer.

Når en fil er låst, vil den bli merket med navneendelsen «.locked».

Til slutt legger viruset en tekstfil på skrivebordet, der det står hva som er gjort og hvilke krav som fremsettes.

Der hevdes det også at alle forsøk på å omgå krypteringen, skru av maskinen eller flytte på filene kan skade filene slik at de aldri vil kunne gjenåpnes.

Mottakeren får tilbud om gratis åpning av et par filer som bevis på at avsenderen sitter på krypteringsnøkkelen.

Løsepengene kreves betalt i kryptovaluta, gjerne Bitcoin.

NSM anbefaler ikke at man betaler løsepenger, og Hydro bekreftet onsdag at de ikke har betalt noe som helst.

ransomware

KRAV: Hackere som angrep et annet selskap med det samme viruset tidligere i år, sendte et slikt krav.

Kan ikke spre seg selv

Det skal foreløpig ikke være noe som tyder på at viruset har mulighet til å spre seg videre til andre nettverk på egen hånd, slik det mye omtalte viruset WannaCry kunne.

Koden i viruset hadde gyldige sikkerhetssertifikater, noe som kan gjøre at systemet slipper den inn. Disse er nå trukket tilbake. Det bruker heller ikke nettverkstrafikk.

Viruset skal ha en funksjon som gjør at det «sover» minst 100 ganger før det starter opp. Det gjør det vanskeligere å fange opp av programmer som skal oppdage slike virus.

Ifølge Trend Micro er det ingen indikasjoner på at LockerGoga er brukt i målrettede angrep.

Det ser heller ikke ut til å være designet for å stjele informasjon.

Firmaer oppfordres til å ta regelmessige sikkerhetskopier, holde alle systemer oppdatert og skaffe seg flere lag med digital sikkerhet.

– Det er ikke amatører som står bak

Rik Ferguson, som er visepresident i sikkerhetsavdelingen til Trend Micro, sier han ikke kjenner til LockerGoga-angrep mot andre enn Hydro og Altran.

– Dette er et av få løsepengeviruser som er programmert til å holde seg skjult. Det gjemmer seg og prøver aktivt å unngå å bli oppdaget. Det er ikke første gang vi ser det, men det er sjeldent. Det er ikke amatører som står bak dette, sier Ferguson til NRK.

Han mener det vil bli vanskelig å finne ut hvem som står bak.

– Vi er langt unna å få vite hvor det kommer fra. Det gjenstår mye arbeid, og sporing er alltid det vanskeligste å gjøre, sier han.

Ferguson beskriver viruset som veldig presist. Det krever tilgang til en administratorkonto, noe hackerne kan ha skaffet seg på flere måter. Typiske fremgangsmåter er e-poster med vedlegg eller lenker som installerer viruset hvis mottakeren åpner dem.

– Ved å skaffe seg en innlogging kan man ta seg videre inn i andre systemer. Det er mange veier inn til organisasjoner, sier Ferguson.

NorCERT

NorCERT og NSM bistår Hydro i håndteringen av løsepengeviruset. Bildet er tatt i forbindelse med WannaCry-viruset, som herjet i 2017.

Foto: Heiko Junge / NTB scanpix

Roser Hydro

Hydro opplyste tirsdag at de har gode sikkerhetskopier, og at de snart vil gå i gang med å gjenopprette disse.

– Blir man rammet av et ransomware-angrep, har man i utgangspunktet ett trumfkort: Sikkerhetskopier som ikke er koblet til nettverket. Resten handler om preventive tiltak. For Hydros del vil det handle om å gjøre det så vanskelig som mulig å navigere seg gjennom infrastrukturen, og sørge for at IT og OT (operasjonsteknologi) aldri berører hverandre, sier Ferguson.

Han roser Hydro for måten de har håndtert angrepet på.

– Jeg håper vi får høre mer fra dem. De har gjort en kjempejobb med den fortløpende responsen. De kommer med regelmessige oppdateringer, kundene og bransjen vet hva som skjer. Så langt har de gjort en veldig god jobb, sier Ferguson.

Dataangrep Hydro

Hydros finansdirektør Eivind Kallevik før onsdagens pressekonferanse.

Foto: Cornelius Poppe / NTB scanpix

«Organisert utpressing»

Sikkerhetsekspert Per Thorsheim forteller at flertallet av slike alvorlige hendelser har startet med e-post.

– En bruker med selv de laveste rettigheter kan ta en dyktig angriper videre. Er man først inne i et nettverk, finnes det en rekke verktøy for å gjøre en tilfeldig ansatt til IT-sjef. Det hele kan ha startet med en uskyldig e-post, sier Thorsheim.

En sikkerhetsekspert i gruppen Malwarehunter skriver til NRK at det sannsynligvis er flere bedrifter som er rammet, men at ingen har bekreftet det offentlig.

Ifølge cybersikkerhetseksperten Kevin Beaumont ser det ut til at noen fra Norge har lastet opp viruset til analyse hos nettjenesten Virustotal. En prøve som ble lastet opp etter angrepet i Frankrike tydet på at det kom fra Romania og Nederland.

Angrepet mot Hydro er kombinert med et angrep mot Active Directory, som er Microsofts katalogtjeneste for administering av brukere og maskiner.

Beaumont sier til BBC at dette tyder på at viruset er lastet opp manuelt av noen som har skaffet seg administratortilgang.

«Angriperne vet hva de gjør. Dette er godt organisert utpressing», skriver Beaumont.

Han har også påpekt at beskjeden fra hackerne er svært lik den som fulgte med viruset Ryuk, selv om virusene er ulike. Personene som står bak dette viruset skal ifølge Forbes ha dratt inn 4 millioner dollar i løsepenger.

Sporene etter Ryuk skal peke mot Russland og tidligere sovjetstater, men man har ikke klart å identifisere hackerne.

Rettelse: I en tidligere versjon av denne artikkelen ble Kevin Beaumont sitert på at NorCERT så ut til å ha lastet opp viruset til analyse hos Virustotal. Det avkrefter NorCERT.

Hydro utsatt for cyberangrep
Foto: Kjartan Rørslett / NRK
Laster innhold, vennligst vent..
Laster innhold, vennligst vent..

SISTE NYTT

Siste meldinger