Промышленный гигант Hydro атакован шифровальщиком

За последние несколько лет мы неоднократно описывали атаки программ-вымогателей на организации. Мишенью становились больницы, муниципальный транспорт и даже компьютеры государственных учреждений в целом округе. Затем настала эра эпидемий WannaCry, ExPetr и Bad Rabbit. Они распространялись как лесной пожар, грозя множеству компаний по всему миру убытками и помехами в работе.

К счастью, в последние двенадцать месяцев атак такого масштаба не наблюдалось, но это не значит, что преступники одумались и решили вести добропорядочный образ жизни. Во вторник, 19 марта, норвежский промышленный гигант Hydro, один из крупнейших производителей алюминия в мире, объявил, что попал под удар программы-вымогателя. Эта кибератака повлияла на всю компанию.

Атака на Hydro: описание инцидента

Как сообщил представитель Hydro на экстренной пресс-конференции, штатные специалисты по кибербезопасности впервые заметили необычную активность на серверах компании около полуночи. Увидев, что заражение распространяется, они попытались его остановить. Сделать это получилось лишь частично : к тому времени, как были изолированы заводы, зловред уже обосновался в глобальной сети Hydro. Сколько компьютеров подверглось заражению, на конференции не говорилось. Но если учесть, что в компании работает около 35 000 человек, скорее всего, их немало.

Специалисты Hydro работают в режиме 24/7, чтобы устранить последствия инцидента – и уже добились определенного успеха. Принадлежащие Hydro электростанции не пострадали совсем, потому что были изолированы от основной сети, — и это правильный подход к критической инфраструктуре. Однако плавильные заводы изолированы не были, а степень их автоматизации за последние годы значительно выросла. В результате шифровальщик поразил ряд заводов, расположенных в Норвегии. Персоналу Hydro удалось полностью восстановить работу некоторых из них, хотя и в более медленном, полуавтоматическом режиме. И все же, как сообщают представители Hydro, «неспособность подключиться к основным системам вызвала проблемы на производстве и временные остановки на нескольких заводах».

Несмотря на огромный масштаб атаки, работа компании все-таки не была остановлена полностью. Вредоносные программы зашифровали данные на компьютерах с Windows, выведя их из строя, но под удар не попали телефоны и планшеты с другими ОС, так что сотрудники по-прежнему могли общаться между собой и оперативно выполнять первоочередные для компании задачи. Кроме того, атака, по всей видимости, не затронула дорогостоящие компоненты критической инфраструктуры, в том числе электролизные ванны для производства алюминия, каждая из которых стоит около 10 млн евро. Инцидент также не привел к появлению угрозы для жизни — никто из сотрудников не пострадал. Что же касается зашифрованных данных, то в Hydro надеются, что все их можно будет восстановить из резервных копий.

Анализ инцидента: что было сделано правильно, а что нет

Скорее всего, Hydro не скоро сумеет полностью восстановить работу в штатном режиме. Да и расследование инцидента займет очень много времени как у самой компании, так и у норвежских правоохранительных органов. Пока эксперты не пришли к единому мнению о том, какое вредоносное ПО было использовано и кто проводил атаку.

Рассматриваются несколько гипотез. Согласно одной, Hydro была атакована вымогателем LockerGoga, который Bleeping Computer называет «медленным» (наши аналитики согласны с этой оценкой) и «неаккуратным», прибавляя, что он «не делает ни малейших попыток избежать обнаружения». В сообщении с требованием выкупа не сообщалось, какую сумму злоумышленники хотели получить за разблокировку компьютеров, только содержался адрес, по которому с ними можно было связаться.

Хотя анализ происшествия все еще ведется, уже можно говорить о том, что Hydro сделала правильно, а что неправильно до инцидента и во время него.

Правильно:

1. Станции энергоснабжения были изолированы от основной сети, поэтому не пострадали.
2. Специалисты по безопасности сумели довольно быстро отсоединить от сети плавильные заводы, что позволило тем продолжить работу (хотя часть пришлось перевести в наполовину ручной режим).
3. Сотрудники могли нормально взаимодействовать даже после инцидента — значит, коммуникационные системы, скорее всего, были защищены достаточно надежно и инфекция их не затронула.
4. У Hydro есть резервные архивы, с помощью которых можно восстановить зашифрованные данные и продолжить работу.
5. У Hydro есть киберстраховка, которая должна покрыть хотя бы часть ущерба от инцидента.

Неправильно:

1. Скорее всего, сеть не была должным образом сегментирована, в противном случае остановить распространение шифровальщика было бы гораздо проще.
2. Установленное Hydro защитное решение не сумело перехватить шифровальщик. Между тем, несмотря на свою сравнительную новизну, LockerGoga хорошо известен, например, системе Kaspersky Endpoint Security for Business под обозначением Trojan-Ransom.Win32.Crypgen.afbf.
3. Периметр безопасности можно было дополнить специализированным продуктом по защите от вымогателей, в частности нашей бесплатной утилитой Kaspersky Anti-Ransomware для бизнеса, которую можно установить параллельно с решениями сторонних вендоров. Она вполне способна защитить инфраструктуру от всех видов шифровальщиков и некоторых других зловредов.