Le norvégien Norsk Hydro touché par un ransomware

Au cours de la journée du 19 mars, l’infrastructure informatique de Norsk Hydro a subi une attaque qui a impacté les usines de l’entreprise dans le monde entier. Norsk Hydro est un groupe norvégien qui se positionne en tant que leader dans le domaine de la production, du raffinage, de la fabrication et du recyclage de produits en aluminium. Afin de terminer les ordres de fabrication, l’entreprise a été forcée d’isoler chacun de ses sites et de passer en mode manuel. D’après l’autorité nationale de sécurité norvégienne (NNSA : Norwegian National Security Authority), l’attaque serait un ransomware dénommé « LockerGoga ». Le chercheur en sécurité informatique Kevin Beaumont (@GossiTheDog sur Twitter) a indiqué que cette attaque pouvait être reconnue grâce aux éléments suivants :
  • Le système d’exploitation des machines infectées est Windows
  • Des fichiers, y compris des fichiers système, ont été chiffrés
  • Les interfaces réseaux ont été désactivées sur chaque système
  • Le mot de passe des comptes utilisateurs locaux a été changé
L’article du 26 mars 2019 de l’ANSSI résume le fonctionnement technique du ransomware LockerGoga. Il serait associé au groupe d’attaquant Grim Spider (nom attribué par Crowdstrike). Les similitudes se situent dans l’utilisation de :
  • Deux mails dans la demande de rançon
  • Metasploit ou Cobalt Strike pour déployer un reverse shell
  • L’outil PsExec pour la copie et l’exécution du ransomware

LockerGoga, un ransomware déjà connu

À noter que Norsk Hydro utilisait la solution cloud Office 365 pour gérer ses mails, ce qui a permis aux collaborateurs de rester en contact à l’aide de téléphones et de tablettes. C’est la deuxième campagne de ransomware qui utilise LockerGoga. Altran a été la première victime de ce ransomware en début d’année. Récemment, Cisco Talos a réalisé une étude sur ce logiciel malveillant. Contrairement aux précédentes campagnes de ransomware, celle-ci est moins sophistiquée. Par exemple, le chiffrement se fait fichier par fichier ce qui n’est pas très efficace. Le message de demande de rançon ne contient aucune mention du montant demandé, seule une adresse mail permettant de contacter les attaquants est indiquée. Enfin, l’équipe de sécurité Malware Hunter Team a constaté que le ransomware n’était pas détecté par plusieurs antivirus sur un échantillon qui date de début mars ainsi que l’illustrent les résultats de virus total.
Durant le mois de mars, deux autres entreprises américaines dans le domaine de la chimie (Hexion et Momentive) semblent avoir été victimes de ce ransomware. Cependant, ces entreprises n’ont pas su gérer les événements avec le même niveau d’organisation affiché par Norsk Hydro. Ainsi, on ne sait pas si leur activité est revenue à la normale. De son côté, une semaine après l’infection, Norsk Hydro a annoncé le coût potentiel de cette attaque. Le montant s’élèverait à près de 40 millions de dollars. Dans les zones les plus touchées de l’entreprise, sauf la partie « Building System » qui est encore à l’arrêt, la production est revenue à un rythme de 70 à 80 % et les systèmes sont en phase de reprise d’activité. La récupération complète de tous les systèmes est prévue pour dans quelques semaines voir plus. L’entreprise a par ailleurs souhaité ne pas payer la rançon mais est en mesure de restaurer leurs données à l’aide de sauvegardes récentes.

Une communication de crise maitrisée

En ce qui concerne la communication autour de l’attaque, Norsk Hydro a régulièrement partagé l’avancement de la situation par le biais de plusieurs interviews en direct, de messages sur les réseaux sociaux, ainsi que via un site web temporaire. De ce fait, l’exemple de Norsk Hydro est intéressant au regard de la communication suite à l’incident. L’entreprise a su gérer les événements de sécurité en interne tout en étant capable de rassurer les actionnaires. L’approche de communication adoptée par Norsk Hydro s’avère donc être un cas d’étude intéressant pour les entreprises victimes de cyberattaques.