CONFERINŢA INTERNAŢIONALĂ DE DIALOG PUBLIC-PRIVAT: LockerGoga, noul tip de ransomware, năpusteşte asupra firmelor industriale

Dacă zicem WanaCry, NonPetya sau BadRabbit, ştim deja cu toţii că ne aflăm în pericol, şi este vorba de un ransomware. De mai mult de zece ani acest tip de atac cibernetic paralizează mii şi mii de companii, organizaţii guvernamentale şi instituţii din întrea-ga lume. Ransomware continuă să fie din ce în ce mai popular, determinând Verizon să-l numească în top-cinci pe lista ameninţărilor cibernetice.

Ce este un ransomware?

Ransomware este un tip de malware care blochează tastatura sau computerul până când se plăteşte o recompensă, de obicei în Bitcoin sau alte criptomonede. Atacantul criptează datele de pe calculator şi va transmite cheia de decriptare victimei doar după primirea sumei. Aproape 60% dintre atacurile ransomware sunt trimise prin e-mail ca adrese URL integrate.

În data de 19 martie 2019 compania norvegiană de industria aluminiului, Norsk Hydro, a fost victima unui atac cibernetic de tip ransomware, aşa numitul LockerGoga. Compania a dat de veste cele întâmplate pe pagina de Facebook, încercând să calmeze personalul şi să dea explicaţii asupra situaţiei.

Mesajul era clar: "incapacitate de conectare la sistemele de producţie care provoacă challenge-uri de producţie şi oprirea temporară a mai multor plant-uri". În unele cazuri s-a trecut la procese manuale. Compania a ţinut la curent angajaţii, partenerii şi clienţii prin Facebook până ce s-a restabilit pagina web, în data de 20 martie. Conform declaraţiei directorului sistemelor informatice, Jo De Vliegher, s-au depus eforturi considerabile pentru restabilirea sistemului.

"Recuperarea sigură a operaţiunilor IT de la Hydro este prioritatea noastră principală, în timp ce facem tot posibilul pentru a limita orice impact asupra clienţilor, furnizorilor şi altor parteneri ai companiei Hydro", spune De Vliegher.

Ce s-a întâmplat? Cercetările ulterioare au arătat că ransomware-ul a fost plasat şi executat de un PsExec. Deoarece PsExec necesită log-in, credem că parolele au fost deja achiziţionate mult înainte de atac prin alte metode, ca şi spear-phishing sau un alt tip de malware, poate chiar cumpărate de pe darknet. Aceasta ar putea însemna că reţeaua a fost deja compromisă şi că atacatorii au efectuat mişcări laterale ajungând până la administratori cu drepturi privilegiate. Odată ajunşi, schimbă parolele, dezactivea-ză anti-virusurile de pe sistem şi încep criptarea fişierelor.

Acest tip de ransomware este relativ nou, primul fiind publicat în ianuarie 2019 în comunicatul de presă al firmei Altran Technologies. Deşi nu avem momentan o multitudine de cazuri pentru a analiza şi compara, putem identifica anumite caracteris-tici: foloseşte chei pentru criptare uşoare, RSA-1024, în acest fel nu încetineşte procesul, şi are deja liste pre-definite, excluzând fişiere mai mici de 256 bytes pentru a executa cât mai rapid.

În mesajul afişat pe desktop README NOW.txt este menţionat algoritmul militar RSA4096 şi AES-256 pentru a da impresia că decriptarea ar fi imposibilă.

La finalul mesajului se urgentează plata fiind menţionat că se poate efectua în Bitcoin, şi că preţul va fi negociat în funcţie de rapiditatea răspunsului.

Ce putem face? Majoritatea recomandărilor anti-ransomware sunt identice:

• Back-up în mod constant

• Adoptarea unui Patch Management

• Introducerea şi menţinerea unei culturi de cybsesec în organizaţie

• Monitorizarea comportamentului utilizatorilor

• Securizarea gateway-urilor de e-mail

• Controlul aplicaţiilor, etc.

Dat fiind faptul că LockerGoga vizează utilizatorii privilegiaţi şi execută ransomware-ul în sistemele lor, Managementul Accesului Privilegiat (PAM) poate înlătura acest tip de atac prin izolarea sistemelor ţintă de administratori, implementarea segregării responsabilităţilor şi validarea în două etape.