Expert Blog

Ransomware 'LockerGoga' veroorzaakt grote schade bij Norsk Hydro

Een van s'werelds grootste aluminium producenten getroffen door LockerGoga Ransomware

Aluminium gigant Norsk Hydro is door LockerGaga Ransomware aangevallen. De ransomware is naar waarschijnlijkheid gedistribueerd naar diverse endpoints door de Active Directory services van het bedrijf zelf te gebruiken.

Hydro is één van de grootste werkgevers van Noorwegen. Het bedrjif zegt dat de aanval afgelopen maandag begon in een fabriek in de VS. De ransomware heeft zich vervolgens verspreid over diverse locaties van het bedrijf in vijftig landen.

Wat Norsk Hydro zegt over LockerGoga:

"In de meeste bedrijfsgebieden zijn IT-systemen geraakt. Hydro schakelt nu voor zover mogelijk over op handmatige activiteiten"

“Gisteren was een hectische dag voor ons allemaal en er was in onze wereldwijde organisatie grote onzekerheid over hoe deze malware onze mensen, bedrijven en klanten zou kunnen beïnvloeden", vertelde Eivind Kallevik, financieel directeur van Norsk Hydro, tijdens een persconferentie in Oslo.

Omtrent cyberverzekeringen zei Norsk Hydro dat er een "goed en krachtig" cyberverzekeringsbeleid bestaat met "gerenommeerde internationale verzekeringsmaatschappijen" die bedrijfsonderbrekingen dekken.

Wat is deze nieuw ontdekte soort ransomware LockerGaga? En hoe werkt het? Ik zocht het uit. 

Wat is LockerGoga Ransomware?

LockerGoga kan gekwalificeerd worden als een zeer 'evasive' (ontwijkende) en geavanceerde ransomware. LockerGoga gijzelsoftware lijkt de  Virtual Machine-omgeving van een sandbox te detecteren. De meeste beveiligingsleveranciers bieden deze omgeving voor het detecteren van zero-day anomalies. LockerGoga is een geavanceerd type ransomware omdat het zichzelf kan verwijderen van het bestandssysteem. Hierdoor vermijdt het de mogelijkheid om als sample te worden opgenomen in dit soort detectie-systemen. 

Bovendien blijft de LockerGoga ransomware vanwege de afwezigheid van aangepaste en complexe functies zoals command and control servers en beaconing, tijdens de detectiefase inactief.

LockerGoga omzeilt endpoint protection systemen

LockerGoga’s code is digitaal gesigneerd, waarbij gebruik gemaakt wordt van diverse valide certificaten — Alisa Ltd., Kitty’s Ltd., and Mikl Limited.

Met behulp van een geldig code-signeer certificaat liet het systeem de ransomware binnen, omdat de meeste endpoint protection systemen zo'n PE-bestand laten passeren. Deze specifieke certificaten zijn sindsdien ingetrokken.

LockerGoga verstuurt eveneens geen netwerkverkeer, waardoor het network-based verdedigingssystemen kan omzeilen.

LockerGoga heeft ook routines die sandboxes en virtual machines (VM's) kunnen omzeilen. De belangrijkste procesgang voor sommige LockerGoga-varianten staat bijvoorbeeld meer dan 100 keer in 'sleep' voordat deze uitgevoerd wordt. Dit is een techniek die toegepast wordt door verschillende ransomwarefamilies en andere bedreigingen. Deze technieken worden ook gebruikt bij targeted attacks.

Er zijn ook enkele varianten van LockerGoga die Machine Learning gebaseerde detection engines omzeilen. De verificatie van deze anti-sandbox- en anti- machine-learning gebaseerde vaardigheden binnen bepaalde varianten, is nog steeds gaande bij verschillende beveiligingsleveranciers en cyberdreiging onderzoeksteams.

Hoe werkt LockerGoga gijzelsoftware?

Het encryptie-proces van LockerGoga is 'instance-based'. Dit houdt in dat de gijzelsoftware een proces start voor ieder bestand dat het versleutelt.

Sommige varianten coderen echter meer dan één bestand per gestart proces. LockerGoga versleutelt documenten en PDF's, spreadsheets en PowerPoint-bestanden, databasebestanden en video's, evenals JavaScript- en Python-bestanden.

Dit zijn enkele file extensions waar LockerGoga zich op richt om deze te versleutelen: .doc, .dot, .docx, .docb, .dotx, .wkb, .xlm, .xml, .xls, .xlsx, .xlt, .xltx, .xlsb, .xlw, .ppt, .pps, .pot, .ppsx, .pptx, .posx, .potx, .sldx, .pdf, .db, .sql, .cs, .ts, .js, .py.

Enkele LockerGoga varianten hebben bepaalde parameters die niet beperkt tot, maar wel de volgende acties omvatten: het versleutelen van een specifiek bestand, het wissen van een bestand en zelfs het coderen van alle bestandstypen.

LockerGoga Ransomware .txt notitie en bitcoin payment verzoek

Aan het einde van de encryptie-fase wordt een bestand met de naam README-NOW.txt in het bestandssysteem gezet. In dit bestand (de 'ransom note') wordt de ontvangers medegedeeld dat hun gegevens versleuteld zijn. Het bericht beweert dat een speciale decoder nodig is om gegevens te herstellen. Ook wordt er gewaarschuwd dat pogingen om software van derden te gebruiken zal leiden tot "onomkeerbare vernietiging" van de gegevens. Het bericht deelt vervolgens links voor de gijzelsoftware slachtoffers om te achterhalen hoeveel zij moeten betalen in bitcoin voor het ontvangen van de door hen ontwikkelde decryption tool.

LockerGoga ransom note

Slechts 25 van 69 endpoint security-aanbieders markeerde LockerGoga als 'kwaadaardig'

Na het gebruiken van de gratis malware-scanner VirusTotal, dat na 19 uur scannen de eerste rapportage met een sample van LockerGoga opleverde, bleek dat slechts 25 van de 69 endpoint security-aanbieders LockerGoga als 'kwaadaardig' wisten te markeren, zoals te zien in onderstaande afbeelding van het dashboard.

 LockerGoga Ransomware VirustotalSlechts 1 certificaat autoriteit heeft het code signer certificaat ingetrokken, dat gebruikt werd om het PE-bestand digitaal te ondertekenen.

Je kan bovenstaand bestand bekijken op de website van VirusTotal.

Hoe voorkom je een LockerGoga ransomware infectie?

Helaas moet 100 procent infectie-preventie nog bereikt worden. Echter is het wel mogelijk om de kans op infectie te verminderen door verdedigingssystemen te versterken met basale veiligheidsacties.

Houd de systemen up to date en maak regelmatig back-ups van jouw bestanden

Het klinkt zo simpel, maar wordt alsnog vaak vergeten. Zorg dat systemen en applicaties altijd up to date zijn. Aanvallers richten zich vaak specifiek op outdated applicaties en systemen met verouderde versies. Dit gebruiken ze als een achterdeur om jouw ecosysteem binnen te dringen.

Dwing een Zero Digital Trust framework af

Implementeer het principe van ´least access´. Dit staat voor het zo min mogelijk toegang verlenen tot systemen of documenten dan noodzakelijk is voor gebruikers. Je kunt hier meer over lezen in een blog die ik vorige week heb gepubliceerd over het opzetten van het Zero Trust Framework.

Beveiliging is een noodzaak, geen luxe

Door een universeel en samenhangend security framework af te dwingen op alle niveaus en niet enkel op de perimeter, zorg je voor sterke beveiliging tegen dit soort gijzelsoftware.

Security Awareness

Train jezelf en werknemers door praktijkvoorbeelden en ´best practices´ te delen op het gebied van cyber security. Het is zeer belangrijk om medewerkers te laten weten hoe LockerGoga werkt, waarop zij moeten letten en dat zij voorzichtig moeten handelen.

Bij Infradata kunnen wij je helpen met een cyber security assessment. Tijdens dit assessment gebruiken wij meerdere concrete sectorbrede voorbeelden om van te leren en toe te passen. Via onze Cyber ​​Security-oplossingen en diensten maken onze Cyber Security experts tijdens dit IT Security assessment gebruik van beproefde en s'werelds beste commerciële gepatenteerde technologieën. Hiermee worden informatie-gerelateerde kwetsbaarheden effectief geïdentificeerd, bewaakt en geanalyseerd. Op deze manier helpen wij je bij het bepalen van methoden voor effectief beheer en oplossingen tegen databeveiligingsrisico's.

Kunal Biswas - 21 maart 2019

Pagina delen:

Deze website maakt gebruik van cookies. Door verder te gaan op de site ga je akkoord met ons gebruik van cookies. Lees meer.