Ransomware ataca a gigante do alumínio Hydro

4 abr 2019

Durante os últimos anos , discutimos diversos incidentes nos quais ransomware foram direcionados para organizações como hospitais, trânsito, ou até computadores governamentais de um Estado. Depois chegou então a era dos wipers, com as epidemias do WannaCry, ExPetr, e Bad Rabbit espalhando-se pelo mundo e arruinando operações de diversos negócios.
Felizmente, não passamos por acontecimentos desse tamanho nos últimos 12 meses, não porque os criminosos desistiram. A gigante do alumínio Hydro anunciou ter sido atacada por ransomware que afetaram a empresa inteira.

O ataque à Hydro: o que aconteceu?

O time de segurança da Hydro notou inicialmente atividade pouco usual nos servidores da empresa às 0h. Testemunharam a infecção espalhando-se e tentaram contê-la. Tiveram sucesso parcial; no momento que isolaram as plantas industriais, a rede global já estava infectada. A Hydro não informou o número de computadores impactados, mas como a empresa possui aproximadamente 35 mil funcionários, esse número é provavelmente enorme.

A equipe da Hydro está trabalhando constantemente para mitigar o incidente, e obtiveram pelo menos sucesso parcial. As usinas de energia não foram afetadas por terem sido isoladas da rede – prática interessante no contexto de infraestrutura crítica. Entretanto, as fundições não foram isoladas; durante os último anos tornaram-se significativamente mais automatizadas. Algumas dessas plantas localizadas na Noruega foram atingidas, mas a equipe conseguiu deixá-las completamente operacionais, embora lentamente, de forma semimanual. Ainda assim, como afirma a Hydro “a impossibilidade de conectar-se aos sistemas de produção causam desafios de produção e parada temporária em diversas instalações.”

Apesar da escala imensa, o ataque não destruiu as operações da Hydro completamente. Embora, máquinas Windows tenham sido criptografadas e inutilizadas, os celulares e tablets não baseados no Windows continuaram a funcionar, o que deu aos colaboradores a possibilidade de comunicar e responder às necessidades do negócio. A infraestrutura crítica de alto custo, como banhos de alumínio, custando 10 milhões de euros cada, aparentemente, não foram afetadas. O incidente de segurança não causou outros problemas como pessoas feridas. A Hydro na verdade espera que tudo que tenha sido afetado possa ser restaurado a partir dos backups.

Análise: acertos e erros

A Hydro provavelmente ainda tem um longo caminho pela frente antes de restaurar as operações completamente, e mesmo investigar o incidente deve demandar tempo e esforço da Hydro e das autoridades norueguesas. E por agora, não há consenso quanto a qual ransomware foi usado para iniciar o ataque.

As autoridades dizem que possuem múltiplas hipóteses. Uma delas é que a Hydro foi atacada pelo ransomware LockerGoga, o qual foi descrito pelo Bleeping Computer como “lento” (nossos analistas concordam com essa descrição) e “desleixado”, adicionando que “não faz qualquer esforço para não ser detectado”. O pedido de resgate não mencionou o montante demandado pelos criminosos para desbloquear os computadores, porém continha um endereço para que as vítimas entrassem em contato.

Embora as análises do incidente não estejam completas, podemos analisar e discutir o que a Hydro fez certo e errado antes e durante o incidente.

Acertos

  1. As usinas foram isoladas da rede principal, o que evitou que fossem afetadas.
  2. O time de segurança conseguiu isolar as instalações de fundição rapidamente, o que permitiu que a produção continuasse (em maioria de forma semimanual).
  3. Colaboradores continuaram a se comunicar normalmente mesmo depois do incidente, o que significa que os servidores de comunicação estavam protegidos o suficiente para não serem afetados pela infecção.
  4. A Hydro tem backups que permitiram restaurar os dados codificados e continuar as operações.
  5. A Hydro tem um seguro em cibersegurança que deve cobrir alguns dos custos resultantes do incidente.

Erros

  1. A rede provavelmente não estava segmentada adequadamente, ou então teria sido bem mais fácil impedir o ransomware de se espalhar e conter o ataque.
  2. A solução de segurança empregada pela Hydro não foi robusta o suficiente para parar o ransomware (Apesar de relativamente novo, o LockerGaga é conhecido pelo Kaspersky Security como Trojan-Ransom.Win32.Crypgen.afbf).
  3. A solução de segurança poderia ser otimizada com softwares antiransomware como nosso Kaspersky Anti-Ransomware Tool, que além de ser gratuito, é passível de instalação juntamente com outras soluções de segurança e é capaz de proteger sistemas de todos os tipos de ransomware, miners, e outras ameaças.