A Norsk Hydro, uma das maiores empresas do mundo na fabricação de alumínio, sofreu um ataque hacker por meio do ransomware LockerGoga, que fez com que parasse parte da produção global da empresa. Uma das refinarias da Hydro no Brasil, a Alunorte no Pará (a segunda maior refinaria de alumínio do mundo), está operando manualmente devido ao ataque que afetou unidades da empresa também na Noruega e no Qatar.
No momento da escrita, a Hydro ainda luta para neutralizar o ataque. O ataque aos sistemas de TI da empresa começou no dia 18 de março, mas só teria sido reportado pela empresa ontem, dia 20, levando as unidades afetadas a interromperem a produção para retomar as atividades posteriormente usando apenas o modo manual. Algumas fábricas afetadas pararam totalmente a produção.
“Não temos um calendário definido sobre a forma de restaurar e estabilizar todos os nossos sistemas, mas estamos contentes de anunciar que fizemos progressos desde o ataque”, disse o diretor financeiro da Norsk Hydro, Eivind Kallevik, em uma coletiva de imprensa.
Kallevik, descrevendo a situação como “bastante severa”, acrescentou que boas soluções de backup e rotinas estão em vigor. A principal estratégia é confiar neles para retomar todas as operações e evitar pagar o resgate. As perdas em produção são mínimas, segundo ele, uma vez que a maioria das linhas afetadas estão operando manualmente em vários turnos.
O LockerGoga parece ser um ransomware clássico que, após invadir o computador, deixa uma mensagem para o usuário exingo um resgate pago em Bitcoin. Veja abaixo
“Saudações! Houve uma falha significativa no sistema de segurança da sua empresa. Você deve ser grato que a falha foi explorada por pessoas sérias e não alguns novatos. Eles teriam danificado todos os seus dados por engano ou por diversão. Seus arquivos estão criptografados com os algoritmos militares mais fortes RSA4096 e AES-256. Sem nosso decodificador especial, é impossível restaurar os dados. As tentativas de restaurar seus dados com softwares de terceiros como Photorec, RannohDecryptor e etc levarão à destruição irreversível de seus dados. Para confirmar nossas intenções honestas, envie-nos 2-3 arquivos aleatórios diferentes e você irá obtê-los descriptografados. Pode ser de diferentes computadores na sua rede para ter certeza de que nosso decodificador descriptografa tudo. Arquivos de amostra que desbloqueamos gratuitamente (arquivos não devem estar relacionados a nenhum tipo de backup). Temos exclusivamente software de decodificação para sua situação. NÃO REINICIAR OU DESLIGAR – os arquivos podem estar danificados. NÃO RENOMEIE os arquivos criptografados. NÃO MOVA os arquivos criptografados. Isso pode levar à impossibilidade de recuperar certos arquivos. Para obter informações sobre o preço do decodificador entre em contato conosco: [email protected] / [email protected]
O pagamento deve ser feito em Bitcoins.
O preço final depende da rapidez com que você nos contata.
Assim que recebermos o pagamento, você receberá a ferramenta de descriptografia e instruções sobre como melhorar a segurança de seus sistemas“, diz a mensagem enviada pelos hackers.
Como funciona o LockerGoga?
O malware criptografa arquivos com as extensões de destino e, em seguida, descarta a nota de resgate no sistema de arquivos, informando aos usuários sobre as etapas necessárias para recuperar os arquivos. Essa é uma abordagem clássica usada pela maioria dos malwares de ransomware. Ele não tem a capacidade de se espalhar para outros alvos, mas parece usar algumas técnicas anti-análise para evitar a detecção por analistas de segurança. Por exemplo, parece detectar a presença de uma máquina virtual e tem a capacidade de se excluir do sistema de arquivos para evitar a coleta de amostras. Como os agentes de ameaças não adicionaram nenhum recurso personalizado ou complexo ao código de malware sua intenção é apenas a interrupção de serviços e não a espionagem
Confira nossas sugestões de Pre-Sales para investir agora
Estado atual
Nas últimas 24 horas, a equipe do Nozomi Networks Labs obteve quatro amostras diferentes do LockerGoga. As múltiplas amostras são um indicador de que o ransomware está em desenvolvimento ativo. Analisando as amostras a empresa de segurança revela que:
- Após a execução, o malware move-se para o diretório % TEMP% , a fim de cobrir a atividade maliciosa.
- As amostras não são ofuscadas e não implementam nenhuma técnica anti-análise.
- O arquivo que contém a nota de resgate é armazenado na pasta Desktop e tem diferentes nomes de arquivo, dependendo da amostra. O uso de nomes de arquivo codificados diferentes para cada amostra de malware representa uma tentativa de contornar as soluções de segurança que dependem da verificação de nomes de arquivos criados dentro de um sistema. Alguns nomes de arquivos observados são: READ-ME-NOW.txt, README-NOW.txt e README_LOCKED.txt. É altamente provável que mais nomes de arquivos usados em outras variações do malware existam na natureza.
- As extensões usadas para decidir quais arquivos criptografar são ligeiramente diferentes entre versões diferentes das amostras. Em alguns casos, observamos que o malware também criptografa os arquivos .exe e .dll. Isso aumenta o impacto no sistema da vítima, porque também criptografa os arquivos principais do Windows.
- Todas as amostras são executadas de forma independente, sem a necessidade de se conectar a servidores externos.
Esses aspectos indicam que o LockerGoga é um malware ransomware clássico. Não há nenhuma funcionalidade voltada para dispositivos ou protocolos específicos do ICS, apesar de algumas das produções da Norsk Hydro terem sido afetadas.
Leia também: Kaspersky destaca os ciberataques mais famosos dos últimos tempos
