Industriekonzern von Ransomware global lahmgelegt

19. März 2019, 15:09
  • security
  • ransomware
  • industrie
  • cyberangriff
image

Die meisten IT-Systeme von Norsk Hydro sind betroffen, viele Aluminiumwerke funktionieren nur im manuellen Betrieb.

Die meisten IT-Systeme von Norsk Hydro sind betroffen, viele Aluminiumwerke funktionieren nur im manuellen Betrieb.
Eines der grössten Unternehmen Norwegens, Norsk Hydro, wurde Opfer des laut eigenen Angaben grössten Cyberangriffs der Unternehmensgeschichte. Dies gab Norsk Hydro, einer der grössten Aluminiumproduzenten der Welt, bekannt. Hydro-Sprecher Halvor Molland sagte, dass der globale Angriff das Unternehmen dazu gezwungen habe, die Produktion in Werken in mehreren Ländern einzustellen.
Hydro beschäftigt 35'000 Mitarbeitende in 40 Ländern, die sich von allen IT-Systemen ausloggen mussten. Auch die Corporate Website war offline, allerdings ist unklar, ob dies ebenfalls mit der Attacke zusammenhängt.
Auf Facebook, neben Telefon, SMS und Sitzungen der einzige verbliebene Kommunikationskanal des Konzerns, präzisierte Norsk Hydro zudem: "In den meisten Geschäftsbereichen sind IT-Systeme betroffe, und Hydro wechselt nach Möglichkeit in den manuellen Betrieb. Wasserkraftwerke laufen normalerweise auf isolierten IT-Systemen."
Der Hydro-Sprecher sagte zudem norwegischen Medien, man habe zuerst Auffälligkeiten im Netzwerk entdeckt und dass dann Probleme mit einigen Managementsystemen auftraten.
Ein norwegischer Experte für Cyber-Sicherheit glaubt laut dem Medium 'E24' in einer ersten Analyse: "Wenn die industriellen Steuerungssysteme von Hydro heruntergefahren werden mussten, so ist dies ein grosser Vorfall." Er kenne keine ähnlichen Fälle in Norwegen. "Die meisten Vorfälle wirken sich nicht auf diese Managementsysteme aus, die den Kern der betrieblichen Abläufe bilden. Sie sind häufig von den übrigen IT-Systemen eines Unternehmens abgetrennt."
Die nationalen Sicherheitsbehörden und das Nationale Cybersecurity Center (NorCERT) wurden zu Hilfe gerufen. Mona Strøm Arnøy, Kommunikationsdirektor der nationalen Sicherheitsbehörde NSM (Nasjonal sikkerhetsmyndighet), sagte dem norwegischen Radio 'NRK', Hydro habe das Incident-Response-Team von NSM kontaktiert und man helfe mit allen verfügbaren Mitteln.
Etwas mehr glaubt NorCERT zu wissen. Nämlich dass Hydro einem LockerGoga-Angriff ausgesetzt ist. "Die Verschlüsselung der IT-Systeme wurde mit einem Angriff gegen die Active Directories (AD) kombiniert. Der Vorfall wird als noch andauernd betrachtet", heisst es einer Medienmitteilung laut 'NRK'.
Die Ransomware "LockerGoga" wurde offenbar von der Gruppe MalwareHunterTeam entdeckt und im Januar erfolgreich gegen das französische Unternehmen Altran eingesetzt. Damals erhoben die Angreifer Lösegeldforderungen.
In einem ersten Tweet äusserte sich MalwareHunterTeam vorsichtig und bestätigt, man habe "LockerGoga" aktuell in Norwegen entdeckt.
Der Security-Experte Kevin Beaumont twitterte ergänzend "LockerGoga Ransomware-Analyse - sie verwendet keinen Netzwerkverkehr, kein DNS, kein C2, Endpoint Detection schlecht". Bei 'BBC' ergänzte er, dass LockerGoga-Ransomware von einem Angreifer manuell auf Hydro-Systemen installiert worden wäre.
An einer Pressekonferenz bestätigte Norsk Hydro, es sei Ransomware gefunden worden. "Die Situation ist ernst. Das gesamte globale Netzwerk ist inaktiv. Wir arbeiten hart daran, den Virus einzugrenzen und die Situation zu lösen. Es hat zu keinen anderen sicherheitsrelevanten Ereignissen geführt", so ein Sprecher.
Zum weiteren Vorgehen sagte er: "Wir haben gute Backup-Routinen. Die Hauptstrategie besteht darin, Daten von den Backup-Systemen neu zu installieren."
'Bleeping Computer' hat eine ausführliche Darstellung von LockerGoga. (Marcel Gamma)

Loading

Mehr zum Thema

image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022
image

Whatsapp-Leck: Millionen Schweizer Handynummern landen im Netz

Durch einen Hack haben Unbekannte fast 500 Millionen Whatsapp-Telefonnummern ergaunert und verkaufen diese nun im Web. Auch Schweizer Userinnen und User sind davon betroffen.

publiziert am 25.11.2022 1
image

Cyberkriminelle attackieren EU-Parlament

Die Website des EU-Parlaments wurde Ziel eines DDoS-Angriffes. Dahinter steckte angeblich eine kremlnahe Cyberbande.

publiziert am 24.11.2022
image

Studie: Jugendliche werden nachlässiger beim Datenschutz

Die Sorge, dass persönliche Informationen im Netz landen, hat bei Jugendlichen abgenommen. Aber erstens haben junge Menschen grössere Probleme im Netz und zweitens sind Erwachsene nicht besser.

publiziert am 24.11.2022 1