Ransomware legt Alu-Riese Norsk Hydro lahm

21 Mrz 2019

In den letzten Jahren haben wir immer wieder von zahlreichen Vorfällen berichtet, bei denen Einrichtungen und Organisationen wie Krankenhäuser, städtische Transportmittel oder sogar Regierungscomputer eines ganzen Landkreises von Ransomware ins Visier genommen wurden. Darauf folgte mit Epidemien wie WannaCry, ExPetr und BadRabbit das Zeitalter der Wiper, die sich weltweit ausbreiteten und den Geschäftsbetrieb zahlreicher Unternehmen ruinierten.

Glücklicherweise gab es in den letzten 12 Monaten keine Ereignisse dieser Größenordnung, was übrigens nicht daran liegt, dass Cyberkriminelle diesbezüglich die Flinte ins Korn geworfen haben. Denn am 19. März gab der norwegische Aluminiumproduzent Hydro bekannt, dass das gesamte Unternehmen Ransomware zum Opfer gefallen war.

Der Angriff auf Hydro: Das ist passiert

Auf einer Pressekonferenz gab ein Sprecher des Unternehmens bekannt, dass Hydros Sicherheitsteam gegen Mitternacht erstmals ungewöhnliche Aktivitäten auf den Servern der Firma festgestellt hatte. Obwohl die Experten versuchten, eine weitere Ausbreitung der Infektion zu verhindern, hatten sie dabei leider nur mäßigen Erfolg. Bis die Experten Teile der Anlage isoliert hatten, war das globale Unternehmensnetzwerk bereits infiziert. Zwar äußerte sich Hydro nicht zu der Anzahl der letztendlich betroffenen Rechner, aber bei einem Unternehmen, das 35.000 Mitarbeiter beschäftigt, können Sie sich das Ausmaß des Vorfalls in etwa ausmalen.

Selbstverständlich arbeitet das Team von Hydro rund um die Uhr an der Minimierung der Folgen des Angriffs und konnte dabei bislang zumindest einen Teilerfolg erzielen. So war beispielsweise keines der Kraftwerke von dem Vorfall betroffen, da diese vom Hauptnetz isoliert waren – eine bewährte Methode, vor allem für kritische Infrastrukturen. Die Schmelzwerke hingegen waren nicht isoliert; In den letzten Jahren hatten sie darüber hinaus einen signifikanten Automatisierungsprozess durchgemacht. Einige der in Norwegen betroffenen Schmelzanlagen konnte das Sicherheitsteam erneut vollständig funktionsfähig machen. Dennoch „verursachte die mangelnde Fähigkeit, eine Verbindung zu den Produktionssystemen herzustellen, deutliche Produktionsherausforderungen und zeitweilige Arbeitsausfälle mehrerer Werke.“

Trotz seines enormen Umfangs konnte der Angriff den Unternehmensbetrieb nicht vollständig außer Kraft setzen. Obwohl zahlreiche Windows-Geräte verschlüsselt und somit unbrauchbar gemacht wurden, funktionierten die nicht windowsbasierten Telefone und Tablets weiterhin, wodurch die Mitarbeiter in der Lage waren, auf notwendige Geschäftsanforderungen zu reagieren. Die mit hohen Kosten verbundene kritische Infrastruktur, wie zum Beispiel Bäder für die Aluminiumproduktion, die jeweils rund 10 Millionen Euro kosten, scheinen nicht von dem Angriff betroffen zu sein. Tatsächlich hofft Hydro darauf, dass alle verschlüsselten Daten aus früheren Backups wiederhergestellt werden können.

Analyse: Richtig und falsch

Hydro hat mit großer Wahrscheinlichkeit noch einen sehr langen Weg vor sich, bis der ursprüngliche Unternehmensbetrieb vollständig wiederhergestellt werden kann. Selbst die Vorfallsanalyse- und -untersuchung, wird sowohl Hydro als auch die norwegischen Behörden ohne Frage noch sehr viel Zeit und Mühe kosten. Bislang ist nicht klar, welche Ransomware für den Angriff verwendet wurde und von wem dieser ausging.

Die Behörden haben diesbezüglich mehrere Hypothesen aufgestellt: so vermuten sie zum Beispiel die Ransomware LockerGoga hinter der Attacke; die Website Bleeping Computer beschreibt die Ransomware als „langsam“ (unsere Analysten stimmen dieser Beschreibung zu) und „schludrig“, die sich „keine Mühe gibt, eine mögliche Erkennung zu verhindern“. Eine exakte Geldsumme war in der Lösegeldforderung selbst nicht angegeben, stattdessen enthielt sie lediglich eine Kontaktadresse der Cyberkriminellen.

Obwohl die Vorfallsanalyse noch nicht abgeschlossen ist, können wir bereits darüber sprechen, was Hydro sowohl vor als auch während des Angriffs falsch und richtig gemacht hat.

Richtig:

  1. Die Kraftwerke waren vom Hauptnetzwerk isoliert und konnten so vor dem Angriff geschützt werden.
  2. Dem Sicherheitsteam gelang es, die Schmelzwerke relativ schnell zu isolieren; auf diese Weise konnte ein Arbeitsausfall, zumindest in diesem Bereich, verhindert werden.
  3. Den Mitarbeitern war auch nach dem Vorfall eine ganz normale Kommunikation möglich, was bedeutet, dass der Kommunikationsserver wahrscheinlich ausreichend geschützt und nicht von der Infektion betroffen ist.
  4. Hydro verfügt über Backups, die eine Wiederherstellung der verschlüsselten Daten und somit des normalen Unternehmensbetriebs ermöglichen sollten.
  5. Hydro hat selbstverständlich eine Cyberversicherung, die einige der Kosten, die aus dem Vorfall entstanden sind, übernehmen sollte.

Falsch:

  1. Das Netzwerk war möglicherweise nicht angemessen segmentiert, ansonsten wäre es deutlich einfacher gewesen, die Ransomware an einer weiteren Ausbreitung zu hindern und den Angriff auf diese Weise einzudämmen.
  2. Die von Hydro verwendete Sicherheitslösung war nicht robust genug, um die Ransomware abzufangen (obwohl LockerGoga relativ neu ist, ist sie unserer Kaspersky Security unter Trojan-Ransom.Win32.Crypgen.afbf bestens bekannt).
  3. Die Sicherheitslösung hätte durch eine Antiransomware-Software – wie unserem kostenlosen Kaspersky Anti-Ransomware-Tool – ergänzt werden können, welches neben anderen Sicherheitslösungen installiert werden kann und das System vor Ransomware, Minern, etc. schützen kann.