Norsk Hydro - jak koncern aluminiowy pokonał ransomware bez płacenia okupu
Atak ransomware LockerGoga na Norsk Hydro (marzec 2019) - chronologia, przejście na operacje ręczne, straty 35-41 mln USD w Q1, decyzja o odmowie zapłaty okupu i transparentna komunikacja jako złoty standard reagowania.
Grudzień 2018 roku. Pracownik Norsk Hydro - norweskiego giganta aluminiowego z 35 000 pracowników w 40 krajach - otwiera załącznik do maila od zaufanego partnera biznesowego. Nic niezwykłego. Codzienność korporacyjna. Tyle że ten konkretny załącznik został wcześniej przechwycony i uzbrojony przez grupę przestępczą. W środku - trojan, który cicho instaluje się na stacji roboczej i zaczyna nasłuchiwać.
Przez trzy miesiące nikt tego nie zauważy. A kiedy wreszcie zauważą, będzie za późno na zapobieganie. Nie będzie jednak za późno na coś innego - na decyzję, która przejdzie do historii cyberbezpieczeństwa jako “złoty standard” reagowania na incydent.
Trzy miesiące ciszy
Od grudnia 2018 do marca 2019 roku atakujący poruszali się po infrastrukturze Norsk Hydro z precyzją kartografa. Trojan zainstalowany na jednej stacji roboczej posłużył jako przyczółek. Kolejne tygodnie upłynęły na rekonesansie, eskalacji uprawnień i lateralnym ruchu po sieci korporacyjnej. Celem było zdobycie uprawnień administratora domeny Active Directory - a więc kluczy do całego królestwa.
I tu dochodzimy do mechanizmu, który czyni ten atak szczególnie pouczającym. Atakujący nie musieli instalować ransomware na każdym komputerze osobno. Wystarczyło przejąć kontrolę nad Active Directory i wykorzystać Group Policy Object (GPO) - natywny mechanizm Windows służący do centralnego zarządzania konfiguracją stacji roboczych - do jednoczesnego wdrożenia malware na tysiącach maszyn. Firma została zaatakowana jej własną infrastrukturą zarządzania.
19 marca 2019 - poranek, jakiego nikt nie planował
W nocy z 18 na 19 marca 2019 roku ransomware LockerGoga uderzył. Pracownicy przychodzący rano do biur i fabryk w 170 lokalizacjach na całym świecie zastali wydrukowane kartki z ostrzeżeniem: nie podłączajcie się do firmowych systemów.
LockerGoga - ransomware szyfrujący pliki algorytmami RSA-4096 i AES-256, zmieniający rozszerzenia na .locked - zaatakował 22 000 komputerów. Zablokowane zostały systemy ERP, poczta elektroniczna, systemy zarządzania produkcją. W hutach aluminium, gdzie procesy wymagają ciągłego monitorowania temperatury i składu stopów, utrata systemów cyfrowych oznaczała natychmiastowe zagrożenie dla ciągłości produkcji.
TIP
LockerGoga to ten sam ransomware, który w styczniu 2019 roku zaatakował francuską firmę konsultingową Altran Technologies, a w marcu - amerykańskie firmy chemiczne Hexion i Momentive. Atak na Norsk Hydro był jednak największą i najbardziej medialną operacją z użyciem tego malware.
Trzy decyzje podjęte w ciągu godzin
Na nadzwyczajnym posiedzeniu zarządu Norsk Hydro podjęto trzy decyzje, które definiują całą tę historię.
Po pierwsze: nie płacić okupu. Kierownictwo uznało, że zapłata nie gwarantuje odzyskania danych, a jedynie zachęca przestępców do kolejnych ataków. Podejrzewano też - słusznie - że atakujący wróciliby po więcej.
Po drugie: wezwać Microsoft. Zespół Microsoft Detection and Response Team (DART) został zaangażowany do analizy incydentu i pomocy w odtwarzaniu systemów z kopii zapasowych.
Po trzecie: mówić prawdę. Zamiast standardowej korporacyjnej strategii minimalizowania i ukrywania, Norsk Hydro zdecydowało się na pełną transparentność. Codzienne konferencje prasowe w siedzibie w Oslo. Codzienne webcasty dla pracowników i partnerów z sesją pytań i odpowiedzi. Dziennikarze zapraszani do centrów operacyjnych. Nowa strona internetowa firmy uruchomiona w ciągu pierwszego tygodnia od ataku - bo stara była niedostępna. Komunikacja przez Facebook, bo wewnętrzne kanały nie działały.
To był odwrotność tego, co robi większość zaatakowanych organizacji. I właśnie dlatego przeszło do historii.
Powrót do długopisów i kartek
Najbardziej dramatyczny aspekt ataku nie rozegrał się w serwerowniach. Rozegrał się na halach produkcyjnych.
Norsk Hydro to producent aluminium. Huty, walcownie, linie ekstruzyjne - procesy przemysłowe, które nie mogą po prostu “poczekać”. Aluminium w piecach topniejących w temperaturze powyżej 960 stopni Celsjusza nie czeka na odtworzenie systemów IT.
Firma przeszła na operacje ręczne. 35 000 pracowników w 40 krajach sięgnęło po długopisy, kartki, tablice i - jak donosili świadkowie - wydrukowane z archiwów instrukcje obsługi sprzed ery cyfrowej. Zamówienia przyjmowano telefonicznie. Harmonogramy produkcji zapisywano ręcznie. Parametry procesów odczytywano bezpośrednio ze wskaźników na maszynach, zamiast z ekranów systemów SCADA.
To się udało - ale nie bez strat. Niektóre zautomatyzowane linie produkcyjne trzeba było zatrzymać całkowicie. Wydajność spadła. Terminy dostaw się przesunęły.
Rachunek
Straty finansowe rosły z każdym kwartałem sprawozdawczym. Pierwsze szacunki mówiły o 35-41 milionach dolarów (300-350 milionów koron norweskich) za sam pierwszy kwartał 2019 roku. W drugim kwartale doszło kolejne 23-29 milionów. Ostateczna kwota, którą Norsk Hydro podało w raportach rocznych, zbliżyła się do 70-75 milionów dolarów.
Ubezpieczenie pokryło tylko część strat. Firma musiała odbudować infrastrukturę IT niemal od zera - wymienić tysiące stacji roboczych, przebudować Active Directory, przywrócić dane z kopii zapasowych. Pełne odtworzenie systemów zajęło miesiące.
A mimo to - Norsk Hydro nie zapłaciło ani jednej korony okupu.
Chronologia kryzysu
| Data | Wydarzenie |
|---|---|
| Grudzień 2018 | Pracownik otwiera zainfekowany załącznik od zaufanego partnera; trojan instaluje się na stacji roboczej |
| Grudzień 2018 - marzec 2019 | Atakujący prowadzą rekonesans, eskalują uprawnienia, przejmują dostęp do Active Directory |
| 18 marca 2019 (wieczór) | LockerGoga wdrożony przez GPO na 22 000 komputerów w 170 lokalizacjach |
| 19 marca 2019 (rano) | Pracownicy zastają kartki z ostrzeżeniami; zarząd podejmuje decyzję o odmowie zapłaty |
| 19-22 marca 2019 | Przejście na operacje ręczne; Microsoft DART rozpoczyna analizę i odtwarzanie |
| Marzec-kwiecień 2019 | Codzienne konferencje prasowe, webcasty, komunikacja przez Facebook |
| Q1 2019 | Szacowane straty: 35-41 mln USD |
| Q2 2019 | Dodatkowe straty: 23-29 mln USD |
| Końcówka 2019 | Pełne odtworzenie systemów IT; łączne straty: ok. 70-75 mln USD |
Lekcje, które przetrwały dłużej niż nagłówki
1. Active Directory to cel numer jeden
Atakujący nie szukali luk w systemach OT. Nie próbowali przejmować sterowników PLC. Poszli po Active Directory - serce zarządzania tożsamościami i uprawnieniami w środowisku Windows. Kto kontroluje AD, kontroluje każdy komputer w domenie. Regularne audyty uprawnień, segmentacja kont administracyjnych i monitoring zmian w GPO to nie “nice to have” - to linia obrony, bez której każda organizacja jest narażona na atak typu LockerGoga.
2. Kopie zapasowe uratowały firmę
Norsk Hydro mogło odmówić zapłaty okupu, ponieważ posiadało aktualne kopie zapasowe odizolowane od sieci produkcyjnej. Gdyby backupy były podłączone do tej samej domeny AD, zostałyby zaszyfrowane razem z resztą. Zasada 3-2-1 (trzy kopie, dwa nośniki, jedna kopia offline) nie jest teorią - jest warunkiem przetrwania. Więcej o strategiach ochrony przed ransomware opisujemy w przewodniku po ransomware.
3. Zdolność do operacji manualnych to polisa ubezpieczeniowa
35 000 ludzi przeszło na długopisy i kartki - i firma przetrwała. Nie dlatego, że to było wygodne, ale dlatego, że ktoś wcześniej przewidział taką możliwość. Procedury awaryjne, instrukcje obsługi w formie papierowej, przeszkolony personel zdolny do pracy bez systemów - to elementy odporności, które żaden firewall nie zastąpi.
4. Transparentność buduje zaufanie, a nie niszczy
Instynkt korporacyjny podpowiada: milcz, minimalizuj, kontroluj przekaz. Norsk Hydro zrobiło odwrotnie - i zyskało uznanie branży, regulatorów i opinii publicznej. Eksperci od cyberbezpieczeństwa na całym świecie, w tym organy ścigania, określili tę reakcję mianem “złotego standardu”. Transparentność nie tylko nie zaszkodziła reputacji firmy, ale ją wzmocniła.
Podsumowanie
Atak na Norsk Hydro nie był ani najdroższy (NotPetya kosztował Maersk ponad 300 milionów dolarów), ani najgłośniejszy (Colonial Pipeline sparaliżował dostawy paliwa dla 50 milionów ludzi). Był natomiast tym incydentem, z którego wynika najwięcej praktycznych wniosków:
- Przejęcie Active Directory pozwala na jednoczesne zaszyfrowanie tysięcy maszyn natywnym mechanizmem GPO.
- Odmowa zapłaty okupu jest realna - jeśli masz aktualne, odizolowane kopie zapasowe.
- Operacje manualne mogą utrzymać ciągłość biznesową na czas odtwarzania systemów - ale wymagają wcześniejszego przygotowania.
- Transparentna komunikacja chroni reputację skuteczniej niż milczenie.
Norsk Hydro udowodniło, że można przejść przez atak ransomware na skalę globalną, nie zapłacić ani grosza atakującym i wyjść z kryzysu silniejszym. Ale ta historia zaczęła się od jednego otwartego załącznika. Jednego maila. Jednego kliknięcia.
Źródła
- Hackers hit Norsk Hydro with ransomware. The company responded with transparency - Microsoft
- Norsk Hydro responds to ransomware attack with transparency - Microsoft Security Blog
- How One Company Refused to Let Its Cyberattackers Win - TIME
- Cyber-attack on Hydro - Hydro.com
- Ransomware Attack Costs Norsk Hydro Tens of Millions of Dollars - SecurityWeek
- LockerGoga Ransomware Attack on Norsk Hydro 2019 - Idaho National Laboratory / CyOTE
- Frontline Insights: The Norsk Hydro cyberattack - DNV
- How to maintain full treasury operations in the midst of a cyber-attack - J.P. Morgan