Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Norks Hydro : commentaire de Kaspersky Lab

mars 2019 par Kaspersky Lab

L’un des plus grands producteurs d’aluminium en Europe, le norvégien Norsk Hydro, a subi ce dimanche une cyberattaque de grande ampleur, probablement l’œuvre du ransomware LockerGoga, déjà derrière l’attaque d’Altran de janvier dernier. De nombreuses usines sont passées en mode manuel tandis que le site et les applications internes de l’entreprise sont tombés.

« Le malware LockerGoga qui aurait prétendument chiffré les fichiers de Norsk Hydro est une famille relativement nouvelle de ransomware par cheval de Troie, que nous détectons comme étant Trojan-Ransom.Win32.Crypren. Cette attaque est très préoccupante et prouve une fois de plus que le monde n’est pas prêt pour les cyberattaques contre des infrastructures critiques, alors que les attaquants sont clairement capables de lancer des attaques sur ces organisations. Nous avons assisté à des attaques contre des réseaux électriques, des raffineries de pétrole, des aciéries, des établissements financiers, des ports maritimes et des hôpitaux, lors desquels les organisations ont détecté des attaques et les ont reconnues. Cependant, de nombreuses entreprises n’en font pas autant, et l’absence de rapports sur ces attaques entrave l’évaluation des risques et la réaction à la menace. Le niveau de cyber-risque associé à la connectivité croissante dans le secteur des industriel critique est mal compris. Les recherches menées par Kaspersky Lab ont montré que 61 % des personnes interrogées considèrent que la mise en œuvre de l’IoT dans leurs systèmes ICS / OT constitue seulement un problème mineur en matière de cybersécurité, voire aucun.
Il est positif que Norks Hydro ait refusé de se plier aux exigences des cybercriminels et de payer la rançon, et qu’ils disposent de sauvegardes de sécurité prêtes à être utilisées. Sans ces sauvegardes, les conséquences d’une telle attaque seraient extrêmement graves. Un autre élément important à prendre en compte est le fait que les centrales électriques étaient isolées du réseau principal et n’ont donc pas été affectées : une organisation industrielle aussi complexe qu’une usine ou une fonderie, est complexe à protéger, car son infrastructure est composée de nombreux éléments et vulnérabilités, dont même les plus insignifiants peuvent servir de passerelle vers l’ensemble du réseau. Tandis que pour la plupart des entreprises, cela signifierait une panne de production et une perte de revenus, les usines comme celle-ci sont également endommagées physiquement », a déclaré Vladimir Daschenko, chercheur en sécurité chez Kaspersky Lab.

Pour se protéger contre de tels scénarios, Kaspersky Lab recommande :
 Effectuer des évaluations de sécurité régulières de l’organisation,
 Effectuer des sauvegardes régulières,
 Installer les patches sur tous les logiciels inclus dans l’infrastructure de l’organisation dès que possible,
 Former les employés aux bases de la cybersécurité,
 Installer une solution de sécurité robuste dédié aux entreprises, telle que Kaspersky Endpoint Security

FAQ - LockerGoga

 Qu’est-ce qu’est LockerGoga ?
LockerGoga est un rançongiciel qui est utilisé depuis janvier 2019 à l’encontre de plusieurs entités lors d’attaques ciblées. Ce logiciel est utilisé uniquement pour chiffrer certains fichiers présents sur le disque dur de l’ordinateur compromis. Il ne possède aucun mécanisme de latéralisation automatique ou de communication vers les serveurs de l’attaquant. Les victimes sont ensuite amenées à contacter les attaquants à l’aide de deux adresses de messagerie présentes dans le message demandant une rançon afin de pouvoir déchiffrer leurs fichiers.

 Comment est diffusé LockerGoga au sein d’un réseau ?
Les attaquants associés à LockerGoga ciblent des réseaux informatiques d’entités spécifiques (high value victims). Ils infiltrent leurs réseaux afin d’obtenir les pleins droits sur ces derniers. Une fois les plein droits acquis, ils diffusent via stratégies de groupe active directory ou à l’aide d’utilitaires tels que PSExec le ransomware LockerGoga sur l’ensemble des ressources du réseau (postes de travail et serveurs).

 Quelle différence entre LockerGoga et NotPetya/Wannacry ?
Wannacry et NotPetya étaient des programmes de sabotage prenant l’apparence de rançongiciels, semblant être l’œuvre d’acteurs sponsorisés par des Etats. Ces deux programmes possédaient également leur propre moyens de latéralisation permettant de se diffuser automatiquement dans le réseau des victimes. LockerGoga ne possède aucun moyen de latéralisation, il doit être diffusé par un opérateur dans le réseau de la victime après les pleins droits acquis sur ce dernier.

 Quels sont les acteurs associés aux attaques associées à LockerGoga ?
Le rançongiciel LockerGoga est associé à de la « grande cybercriminalité », utilisant les mêmes techniques et outils de les APTs traditionnelles. Les opérateurs derrière LockerGoga ne sont pas forcément ceux qui ont réalisé la primo-infection dans le réseau de la victime, ils ont pu acheter l’accès à d’autres acteurs cybercriminels. De même pour le développement même du code malveillant, il a pu être acheté à un tiers par les opérateurs.
Il faut comprendre que c’est une attaque cybercriminelle et que le cyber-crime est un patchwork d’acteurs et de services. Par exemple : un acteur a pu être payé pour le développement de LockerGoga, un acteur va vendre le certificat permettant de signer le code malveillant, un autre acteur va être payé pour la diffusion des portes dérobées utilisées ensuite par les opérateurs et en chaine finale, les opérateurs vont faire les manœuvre de latéralisation dans le réseau de la victime et diffuser LockerGoga.

Nous sommes sur d’un lien, en janvier, une porte dérobée utilisée par les opérateurs de LockerGoga a été diffusée via un Exploit Kit cybercriminel présent sur des sites pornographiques.


Voir les articles précédents

    

Voir les articles suivants