Norsk Hydro不會(huì)支付贖金需求 會(huì)從備份中恢復(fù)

Norsk Hydro不會(huì)支付贖金需求，也會(huì)從備份中恢復(fù)

微軟員工抵達(dá)挪威幫助Norsk Hydro在勒索軟件攻擊后恢復(fù)。

在本周二遭受致命的勒索軟件襲擊之后，鋁生產(chǎn)商N(yùn)orsk Hydro正在慢慢開始從事件中恢復(fù)過來。

安全

'100個(gè)獨(dú)特的漏洞和計(jì)數(shù)'用于最新的WinRAR安全漏洞

網(wǎng)絡(luò)安全：不要讓小東西給你帶來大問題

為什么安全性是企業(yè)云采用的首要障礙[混合云電視]

紅隊(duì)幫助保護(hù)開源軟件

“微軟和其他IT安全合作伙伴有專家空運(yùn)來幫助海德魯采取一切必要行動(dòng)，以系統(tǒng)的方式來獲得關(guān)鍵業(yè)務(wù)系統(tǒng)重新正常運(yùn)行，”喬德Vliegher，信息系統(tǒng)的負(fù)責(zé)人，在說新聞稿此周。

該公司的首席財(cái)務(wù)官(CFO)Eivind Kallevik也表示，該公司不打算支付黑客的贖金需求，并已開始從備份中恢復(fù)其IT基礎(chǔ)設(shè)施。

總的來說，這起事件被水電官員描述為災(zāi)難性的。勒索軟件影響了Norsk Hydro的生產(chǎn)和辦公I(xiàn)T系統(tǒng)。

在事件的后果中，管理生產(chǎn)設(shè)備的系統(tǒng)將其數(shù)據(jù)加密并與公司網(wǎng)絡(luò)斷開連接，從而阻止Norsk Hydro員工管理工廠設(shè)備。

該公司改用手動(dòng)操作，這不影響生產(chǎn)，但確實(shí)減緩了工廠產(chǎn)量，并導(dǎo)致一些臨時(shí)停工，因?yàn)閱T工想出了最好的工作方式。

但最大的影響是Norsk Hydro的辦公室IT基礎(chǔ)設(shè)施。在周二和周四舉行的兩次新聞發(fā)布會(huì)上，Kallevik表示，無法獲得客戶訂單是他們?cè)诒３稚a(chǎn)線運(yùn)轉(zhuǎn)方面必須應(yīng)對(duì)的最大障礙。

Kallevik說，歐洲和美國的工廠受影響最大，特別是生產(chǎn)擠壓和軋制鋁產(chǎn)品的部門。根據(jù)昨天提供的狀態(tài)更新，在這些工廠中，員工在連接生產(chǎn)設(shè)備時(shí)遇到問題，并且經(jīng)常發(fā)生停工和生產(chǎn)線重啟。

Imge：Norsk Hydro

Norsk Hydro執(zhí)行官拒絕提供有關(guān)事件本身的詳細(xì)信息，理由是正在進(jìn)行的執(zhí)法調(diào)查。

然而，有足夠的信息從其他來源泄露到互聯(lián)網(wǎng)上，以尋找一些非常合理的理論和對(duì)Norsk Hydro內(nèi)部發(fā)生的事情的解釋 - 例如來自信息安全專家Kevin Beaumont的信息。

基于在聚合惡意軟件掃描程序服務(wù)VirusTotal上上傳的勒索軟件樣本，并根據(jù)對(duì)樣本中發(fā)現(xiàn)的功能的分析，Norsk Hydro事件似乎發(fā)生在黑客攻擊公司網(wǎng)絡(luò)并橫向移動(dòng)直到他們獲得訪問Active Directory之后服務(wù)器。

Beaumont說，LockerGoga勒索軟件缺乏WannaCry，NotPetya或Bad Rabbit中發(fā)現(xiàn)的自我傳播功能，而且許多Norsk Hydro工廠同時(shí)受到影響的唯一方法就是黑客使用該公司的中央Active Directory服務(wù)器推送同時(shí)向Norsk Hydro的所有工作站提供勒索軟件。

這位英國研究人員還指出，LockerGoga勒索軟件的編碼速度非?？?，利用了“加密過程中的每個(gè)CPU內(nèi)核和線程”。

他在昨天發(fā)表的一項(xiàng)分析中表示，“在幾分鐘內(nèi)，平均系統(tǒng)就是吐司。”

此外，勒索軟件還禁用了所有受感染系統(tǒng)上的網(wǎng)卡，并更改了本地管理員帳戶的密碼。這兩項(xiàng)操作都是為了防止恢復(fù)操作，例如從遠(yuǎn)程服務(wù)器推出備份以快速恢復(fù)受感染的系統(tǒng)。

因此，需要手動(dòng)將備份部署到每臺(tái)受影響的PC。

部署勒索軟件后，Hydro員工可以做的唯一事情是使用他們的本地非管理員帳戶登錄受感染的工作站，他們會(huì)在屏幕上看到LockerGoga勒索信息。

圖片來源：Kevin Beaumont

Beaumont(有充分記錄的)當(dāng)天可能在Hydro內(nèi)部發(fā)生的事情的理論可以通過挪威計(jì)算機(jī)應(yīng)急響應(yīng)小組(NorCERT)在事件當(dāng)天發(fā)出的安全警報(bào)得到一定程度的證實(shí)，警告公司通過使用LockerGoga勒索軟件的活動(dòng)目錄。

Norsk Hydro公司是1月下旬在法國工程咨詢公司Altran Technologies網(wǎng)絡(luò)上發(fā)現(xiàn)惡意軟件后，第二家被LockerGoga勒索軟件感染的大公司。

雖然大多數(shù)信息安全專家將LockerGoga勒索軟件感染歸類為與網(wǎng)絡(luò)犯罪有關(guān)的事件，但騙子試圖從被黑客入侵的公司勒索錢財(cái)，還有另一種理論慢慢形成。

該理論基于網(wǎng)絡(luò)安全公司思科Talos的博客文章，其中強(qiáng)調(diào)了一些LockerGoga功能特定于雨刷(破壞性)惡意軟件而不是勒索軟件。一些安全研究人員現(xiàn)在將Norsk Hydro攻擊視為一個(gè)民族國家的黑客組織，該組織注意到它已經(jīng)被檢測(cè)到并決定通過在Hydro的網(wǎng)絡(luò)上部署LockerGoga來掩蓋他們的存在，試圖愚弄事件響應(yīng)者。然而，這只是一個(gè)理論，沒有任何支持證據(jù)，主要是在另一家挪威公司云提供商Visma上個(gè)月承認(rèn)遭到中國黑客攻擊之后形成的。