משפחת כופר חדשה אחראית למתקפת הסייבר על ענקית האולמיניום נורסק הידרו

Google+ Pinterest LinkedIn Tumblr +

בימים האחרונים דווח על מתקפת כופר על ענקית האלומיניום הנורווגית נורסק הידרו, אחת מיצרניות האלומיניום הגדולות בעולם, שגרמה לשיבושים בפעילותה.

ולדימיר דשנקו, חוקר אבטחה במעבדת קספרסקי, מסביר כמה נקודות חשובות בהקשר למתקפה: "הקוד הזדוני LockerGoga, אשר לכאורה אחראי להצפנה של קבצי חברת Norsk Hydro, משתייך למשפחה חדשה יחסית של טרויאנים לכופר. אנו מזהים אותו בסימול Trojan-Ransom.Win32.Crypren. ההתקפה היא אירוע מדאיג בחומרתו, הוא מוכיח פעם נוספת כי העולם אינו ערוך להתקפות סייבר כנגד תשתיות חיוניות – ומולם התוקפים ערוכים ומסוגלים בבירור להפעיל התקפות על מתקנים שכאלה. ראינו התקפות על רשתות חשמל, בתי זיקוק, מפעלי ייצור ברזל, תשתית פיננסית, נמלי ים ובתי חולים – ואלה המקרים בהם ארגונים זיהו את ההתקפות עליהם ואישרו את קיומן. עם זאת, חברות רבות לא מדווחות על התקפות, והיעדר הדיווח פוגע ביכולות הערכת הסיכונים והתגובה לאיום.

"קיים פער בהבנת רמת הסיכון אשר נובע מהגידול בקישוריות בתעשיית התשתיות החיוניות. מחקר של מעבדת קספרסקי מצא כי 61% מהנשאלים רואים בהטמעה של IoT במערכות ה- ICS/OT (מערכות בקרה תעשייתיות / מערכות תפעוליות)  כאתגר אבטחת סייבר שולי.

"חשוב לציין שנורסק הידרו סירבה לענות על דרישות עברייני הסייבר ולשלם את דמי הכופר, וכי היו ברשותם גיבויים מוכנים לשימוש. ללא גיבויים שכאלה, התוצאות של התקפה כזאת היו חמורות מאוד. נקודה חשובה נוספת היא העובדה שתחנות הכח היו מבודדות מהרשת הראשית, ולכן לא הושפעו: ארגון תעשייתי מורכב, כמו מפעל או מתקן היתוך, הוא מארג מורכב להגנה –  התשתית שלו בנויה ממרכיבים רבים. פגיעויות, אפילו ברכיבים השוליים ביותר, יכולים לשמש כשער גישה לרשת כולה. בעוד עבור רוב הארגונים, המשמעות של פריצה היא כשל בייצור ואובדן הכנסות, מפעלי כגון זה נורסק עומדים בפני נזק פיזי לייצור שלהם", אמר דשנקו.

מהי LockerGoga?

LockerGoga היא תוכנת כופר הנמצאת בשימוש מאז ינואר 2019 כנגד מספר ישויות במסגרת התקפות ממוקדות. תוכנה זו משמשת רק לצורך הצפנה של קבצים מסוימים בדיסק הקשיח של הקורבן, ואין לה מנגנונים אוטומטיים לתנועה רוחבית בארגון או לתקשורת. הקורבנות מתבקשים ליצור קשר עם התוקפים באמצעות אחת משתי כתובות דואר אלקטרוני המופיעות בהודעת ההצפנה.

התוקפים המשוייכים ל-LockerGoga תוקפים מחשבים ברשתות של ישויות ספציפיות (מטרות בעלות ערך גבוה). הם חודרים לרשתות במטרה להשיג הרשאות פעולה מלאות. ברגע שאלה הושגו, הם מפיצים את תוכנת הכופר LockerGoga אל כל משאבי הרשת (תחנות עבודה ושרתים) באמצעות קבוצות Active Directory או כלים כגון PSExec.

Wannacry ו-NotPetya, לשם השוואה, היו תוכנות חבלה שהגיעו בצורת תוכנות כופר, כפי הנראה כעבודה של גורמים במימון מדינות. שתי תוכנות אלה גם כללו יכולות של תנועה רוחבית כדי להתפשט באופן אוטומטי ברשתות הקורבנות. ל-LockerGoga אין אמצעים לתנועה רוחבית, והוא חייב להיות משודר על ידי מפעיל אל רשת הקורבן לאחר שמתקבלות הרשאות מלאות.

תוכנת הכופר LockerGoga משויכת ל"פשיעת סייבר עילית", כאשר היא משתמשת בטכניקות וכלים דומים ל-APT מסורתי. המפעילים מאחורי LockerGoga אינם בהכרח אלה אשר מבצעים ההדבקות הראשוניות של רשת הקורבן. נראה שאת הגישה הם הצליחו לרכוש מגורמי פשיעת סייבר אחרים. באופן דומה, ייתכן שהקוד הזדוני עצמו נרכש מגורמים חיצוניים.

ההערכה היא שמדובר ככל הנראה במתקפה מורכבת של מספר שחקנים. ייתכן שגורם אחד קיבל תשלום עבור פיתוח LockerGoga, שחקן אחר ימכור תעודות לחתימת הקוד הזדוני, גורם נוסף יקבל תשלום על הפצת הדלת האחורית שתשמש את המפעילים, ובקצה השרשרת יימצאו המפעילים שיבצעו את התנועה הרוחבית ברשת הקורבן ויפיצו את LockerGoga.

שתף.

.