Industriekonzern von Ransomware global lahmgelegt

Das verbliebene digitale Lebenszeichen von Norsk Hydro nach der Attacke
Die meisten IT-Systeme von Norsk Hydro sind betroffen, viele Aluminiumwerke funktionieren nur im manuellen Betrieb.
 
Eines der grössten Unternehmen Norwegens, Norsk Hydro, wurde Opfer des laut eigenen Angaben grössten Cyberangriffs der Unternehmensgeschichte. Dies gab Norsk Hydro, einer der grössten Aluminiumproduzenten der Welt, bekannt. Hydro-Sprecher Halvor Molland sagte, dass der globale Angriff das Unternehmen dazu gezwungen habe, die Produktion in Werken in mehreren Ländern einzustellen.
 
Hydro beschäftigt 35'000 Mitarbeitende in 40 Ländern, die sich von allen IT-Systemen ausloggen mussten. Auch die Corporate Website war offline, allerdings ist unklar, ob dies ebenfalls mit der Attacke zusammenhängt.
 
Auf Facebook, neben Telefon, SMS und Sitzungen der einzige verbliebene Kommunikationskanal des Konzerns, präzisierte Norsk Hydro zudem: "In den meisten Geschäftsbereichen sind IT-Systeme betroffe, und Hydro wechselt nach Möglichkeit in den manuellen Betrieb. Wasserkraftwerke laufen normalerweise auf isolierten IT-Systemen."
 
Der Hydro-Sprecher sagte zudem norwegischen Medien, man habe zuerst Auffälligkeiten im Netzwerk entdeckt und dass dann Probleme mit einigen Managementsystemen auftraten.
Ein norwegischer Experte für Cyber-Sicherheit glaubt laut dem Medium 'E24' in einer ersten Analyse: "Wenn die industriellen Steuerungssysteme von Hydro heruntergefahren werden mussten, so ist dies ein grosser Vorfall." Er kenne keine ähnlichen Fälle in Norwegen. "Die meisten Vorfälle wirken sich nicht auf diese Managementsysteme aus, die den Kern der betrieblichen Abläufe bilden. Sie sind häufig von den übrigen IT-Systemen eines Unternehmens abgetrennt."
 
Die nationalen Sicherheitsbehörden und das Nationale Cybersecurity Center (NorCERT) wurden zu Hilfe gerufen. Mona Strøm Arnøy, Kommunikationsdirektor der nationalen Sicherheitsbehörde NSM (Nasjonal sikkerhetsmyndighet), sagte dem norwegischen Radio 'NRK', Hydro habe das Incident-Response-Team von NSM kontaktiert und man helfe mit allen verfügbaren Mitteln.
 
Etwas mehr glaubt NorCERT zu wissen. Nämlich dass Hydro einem LockerGoga-Angriff ausgesetzt ist. "Die Verschlüsselung der IT-Systeme wurde mit einem Angriff gegen die Active Directories (AD) kombiniert. Der Vorfall wird als noch andauernd betrachtet", heisst es einer Medienmitteilung laut 'NRK'.
 
Die Ransomware "LockerGoga" wurde offenbar von der Gruppe MalwareHunterTeam entdeckt und im Januar erfolgreich gegen das französische Unternehmen Altran eingesetzt. Damals erhoben die Angreifer Lösegeldforderungen.
 
In einem ersten Tweet äusserte sich MalwareHunterTeam vorsichtig und bestätigt, man habe "LockerGoga" aktuell in Norwegen entdeckt.
 
Der Security-Experte Kevin Beaumont twitterte ergänzend "LockerGoga Ransomware-Analyse - sie verwendet keinen Netzwerkverkehr, kein DNS, kein C2, Endpoint Detection schlecht". Bei 'BBC' ergänzte er, dass LockerGoga-Ransomware von einem Angreifer manuell auf Hydro-Systemen installiert worden wäre.
 
An einer Pressekonferenz bestätigte Norsk Hydro, es sei Ransomware gefunden worden. "Die Situation ist ernst. Das gesamte globale Netzwerk ist inaktiv. Wir arbeiten hart daran, den Virus einzugrenzen und die Situation zu lösen. Es hat zu keinen anderen sicherheitsrelevanten Ereignissen geführt", so ein Sprecher.
 
Zum weiteren Vorgehen sagte er: "Wir haben gute Backup-Routinen. Die Hauptstrategie besteht darin, Daten von den Backup-Systemen neu zu installieren."
 
'Bleeping Computer' hat eine ausführliche Darstellung von LockerGoga. (Marcel Gamma)