Lessons Learned: Der Fall Norsk Hydro

Wie der Industriekonzern aktuell mitteilte, laufen nach gut einer Woche die meisten Operationen wieder bei normaler Kapazität. Einen detaillierten Überblick über die finanziellen Auswirkungen zu geben, sei noch verfrüht. Nach ersten Evaluationen schätzt Norsk Hydro den Schaden in der ersten Woche nach dem Angriff auf etwa 35 Millionen Euro, größtenteils verursacht durch Margen- und Volumenverluste im Geschäftsbereich Extruded Solutions.

Wie es dazu kam:

Der Aluminium-Gigant wurde Opfer eines Cyber-Angriffs mit der Ransomware LockerGoga, welche gezielt gegen Industrieunternehmen eingesetzt wird. Die Ransomware wurde auf die Endpoints anscheinend durch das unternehmenseigene Active Directory verbreitet. Laut einem Tweet vom Security-Experten Kevin Beaumont erzeugt LockerGoga keinen Netzwerkverkehr, verwendet kein DNS und verbindet sich zu keinem C2 Server. Ein Auffinden des Angreifers durch Endpoint Detection sei also so gut wie unmöglich. Ergänzend gab er in einem BBC-Interview an, dass die Ransomware manuell auf den Norsk Hydro-Systemen installiert worden wäre. Die Angreifer wussten also ganz genau, was sie tun.

LockerGoga wird von Angreifern nur als Teil einer Attacke verwendet. LockerGoga verteilt sich, anders als bei WannaCry oder NotPetya, nicht selbstständig. Die Ransomware wird von jemandem verwendet, der bereits einen administrativen Zugang erlangt hat. Die genaue Root Cause ist noch nicht bekannt. Ein administrativer Zugang kann beispielsweise durch Spear Phishing, kompromittierte Zugangsdaten, gestohlene Zugangsdaten aus Cybercrime Markets oder Insider Threats erlangt werden.

Was zu tun ist:

Solche Fälle sollten Unternehmen dazu bewegen, sich über die eigene Absicherung Gedanken zu machen.

Wir empfehlen Zeit in die Ausarbeitung eines Notfallplans zu investieren, um festzulegen, was bei Eintritt solcher oder ähnlicher Ereignisse zu tun ist. Außerdem ist dies sicher eine gute Gelegenheit, um über die Einführung technischer Systeme zur Erkennung von Anomalien nachzudenken. Welche Möglichkeiten stehen zur Verfügung, um zu erkennen, ob das Unternehmen möglicherweise Opfer eines Cyberangriffs ist, was haben die Angreifer vor bzw. was ist ihr Ziel?

Fazit:

Fest steht, dass man sich gegen solche gezielten Angriffe nicht zu 100% schützen kann. Ein Mix aus technischen und organisatorischen Maßnahmen ist nötig, um sich einerseits gut auf solche Fälle vorzubereiten und andererseits möglichst viele Barrieren zu schaffen.

Denn eines ist klar: Die Frage, ob man Opfer eines Angriffs wird oder nicht, stellt sich nicht. Die richtige Frage ist eher das „Wann?“.

 

Gerne stehen wir Ihnen für Ihre Fragen zur Verfügung!

Herzlichst,
Ihr Michael KARL
IT Consultant

Michael KARL