Ransomware raakt aluminiumreus hard

De infectie is echter nog niet ingetoomd, laat staan ongedaan gemaakt.

Het getroffen bedrijf gaat niet in op berichten dat het om de verse LockerGoga-ransomware gaat, die begin dit jaar ontdekt is. Deze verse variant van datagijzelingssoftware is toen aangetroffen bij een ingenieursfirma in Frankrijk. Noorse media melden nu dat de huidige cyberaanval op aluminiumproducent Norsk Hydro ook een LockerGoga-infectie is. Deze berichten zijn op basis van waarschuwingen die het Noorse security-orgaan NorCERT zou hebben gegeven aan bepaalde partners waarmee het informatie deelt.

'Situatie is ernstig'

In de live webcast van vanmiddag erkent Norsk Hydro dat het om ransomware gaat, maar bevestigt het de 'identiteit' van LockerGoga echter niet. De identiteit van de aanvallers is onbekend, aldus Norsk Hydro. De aanwezige woordvoerster van de nationale security autoriteit stelt: "we werken nu met diverse theorieën en dit is er één van", verwijst ze naar die relatief nieuwe ransomware.

Het getroffen bedrijf benadrukt dat zijn productie momenteel gewoon doordraait, zij het met inzet van meer handwerk. Bij de ene fabriek in lichtere mate dan bij de andere. In een Facebook-post geeft het bedrijf de operationele status van zijn verschillende activiteiten aan. Een enkele productiefaciliteit kampt met "gebrek aan connectiviteit", vertelt Norsk Hydro in de webcast. "Maar de situatie is ernstig", wordt daar gelijk aan toegevoegd.

"Het hele bedrijf is geraakt" en "Het hele wereldwijde netwerk is down". Dat laatste is gedaan om verdere infectie van andere fabrieken te voorkomen. Het isoleren van de productiefaciliteiten is nu afgerond. De volgende fase in de aanpak van deze cyberaanval is het opsporen van de infectie, om die te isoleren en analyseren. Vervolgens is er nog de kwestie van de gegijzelde systemen en de daarop staande data, die door de gijzeling (middels encryptie) dus ontoegankelijk is.

Vertrouwen op back-ups

"We zijn intern nu al georganiseerd om 24/7 bezig te zijn om dit op te lossen." Norsk Hydro stelt hierbij dat het goede interne IT-expertise heeft, en dat het externe hulp heeft ingeroepen. De grote impact van de bevestigde ransomware-infectie suggereert echter dat er geen goede netwerksegmentatie is doorgevoerd. Het bedrijf antwoordt op vragen over mogelijk herstel - dan wel losgeldbetaling aan de aanvallers - dat het "goede back-up oplossingen" heeft. De hoofdstrategie nu is om back-ups terug te zetten, die volgens de getroffen firma "recent" zijn.

Het productieverlies is momenteel minimaal, maar hoe langer deze situatie voortduurt hoe erger het kan worden. Norsk Hydro stelt gerust dat huidige productie en orders vervuld worden, dankzij grotere inspanning van mankracht. De firma, met 35.000 werknemers in 40 landen, moet het grotendeels doen zonder de reguliere computerinfrastructuur en opereert nu op smartphones en tablets. Hoe lang deze situatie - en de opruimprocedure en dan hersteloperatie - nog zal duren, is "moeilijk te zeggen".

Hoe lang kun je doorgaan?

Hierbij ontwijkt Norsk Hydro vragen over hoe lang de firma zo nog kan doorgaan en wanneer toekomstige bestellingen in gevaar komen. De timing daarvan varieert van fabriek tot fabriek, wat samenhangt met de mate van infectie. "Ons doel is nu zorgen voor veiligheid, en het beperken van de impact", aldus de formele verklaring. Die impact betreft de financiële gevolgen voor Norsk Hydro zelf, maar ook gevolgen voor afnemers van zijn aluminiumproductie.

Ondertussen meldt het Nederlandse persbureau ANP, op basis van de Noorse publieke omroep NRK, dat er sprake zou zijn van een dubbele aanval. Terwijl de LockerGoga-ransomware computersystemen platlegde en losgeld eiste, zouden aanvallers geprobeerd hebben om binnen te dringen elders. Het zou hierbij gaan om een systeem waarmee werknemers hun dagelijkse werk kunnen doen en waarlangs 'sleutels' voor verdere toegang zijn te verkrijgen. Hierdoor is het niet duidelijk of het de aanvallers om het geld te doen was, of om sabotage dan wel datadiefstal voor bijvoorbeeld industriële spionage.