Si chiama LockerGoga il ransomware di nuova generazione difficile da individuare che la scorsa settimana ha colpito il colosso norvegese dell’alluminio Norsk Hydro, causando notevoli rallentamenti su una parte della produzione negli stabilimenti europei e statunitensi e mettendo fuori uso il network interno, tanto che altri stabilimenti sono stati costretti a passare alle operazioni manuali per continuare la produzione.
A differenza di altri malware simili, LockerGoga non ha funzionalità che gli consentono di auto-propagarsi né si conoscono, al momento, dettagli sul suo vettore di infezione iniziale. Si sa, invece, che gli aggressori sono in grado di utilizzare un’ampia gamma di tecniche per ottenere l’accesso alla rete, compreso lo sfruttamento di vulnerabilità non patchate e le credenziali utente ottenute mediante campagne di malspam e phishing.
Particolari, questi, che farebbero pensare ad un attacco mirato nei confronti degli stabilimenti di Norsk Hydro.
Inoltre, mentre le precedenti varianti già identificate in passato di LockerGoga si comportavano come i classici ransomware, cifrando i file e le cartelle archiviati sui sistemi infetti e fornendo poi alle vittime le istruzioni per pagare il riscatto in Bitcoin al fine di ottenere la chiave di decodifica, nelle varianti successive (come quella che ha colpito il colosso dell’alluminio norvegese) LockerGoga può anche disconnettere le sue vittime impedendo loro di accedere nuovamente al sistema colpito. La conseguenza di ciò è che, in molti casi, la vittima non è in grado di visualizzare la nota di riscatto e quindi di ottenere le istruzioni per pagarlo e rientrare in possesso dei suoi file.
Indice degli argomenti
Attacco a Norsk Hydro: quale lezione per le aziende
Le nuove varianti di LockerGoga, quindi, potrebbero essere descritte come distruttive e, più che di un classico ransomware, si dovrebbe parlare di un wiper, un malware capace di impedire il recupero dei file criptati o di cancellare completamente tutti i dati archiviati nel computer vittima dell’attacco.
Insomma, più che di una classica infezione da ransomware, quello condotto nei confronti di Norsk Hydro potrebbe essere stato un vero e proprio attacco di cyber sabotaggio il cui obiettivo era bloccare interi sistemi industriali, con tutte le conseguenze del caso.
Un’ipotesi confermata da Marco Rizzi, Information e Cyber Security Advisor presso P4I – Partners4Innovation: “L’attacco a Norsk Hydro, almeno stando alle informazioni disponibili al momento, è un caso che pone molti spunti di riflessione. Stando alle informazioni disponibili al momento, pare si sia trattato di un attacco ransomware mirato, ben strutturato e guidato dall’esterno, perpetrato ai danni di un’azienda strutturata, attiva sugli aspetti di sicurezza”.
Cosa può dunque insegnare questo attacco alle altre aziende? Senza entrare nei dettagli dell’attacco, lo stesso Marco Rizzi prova a suggerire alcuni temi di sicurezza su cui porre l’attenzione. “Il primo aspetto è l’importanza del servizio di detection che parte da un’adeguata capacità di rilevare e correlare semplici eventi di sicurezza prima che si tramutino in attacchi. Il secondo aspetto, inerente i sistemi di controllo industriale (ICS), è relativo alla necessità di mantenere i sistemi di produzione il più possibile separati fisicamente e logicamente da altri ambienti e reti aziendali, a maggior ragione quando si tratta di lavorazioni meccaniche”.
Secondo Vladimir Dashchenko, Security Researcher di Kaspersky Lab, “l’attacco ai danni di Norsk Hydro si è rivelato un incidente davvero preoccupante e dimostra, una volta di più, come il mondo non sia pronto ad affrontare eventuali cyber attacchi che prendono di mira le infrastrutture critiche, diversamente dagli aggressori che sono sempre più abili nell’attaccare questo tipo di impianti. Abbiamo osservato diversi casi di cyber attacchi a reti elettriche, raffinerie di petrolio, impianti siderurgici, infrastrutture finanziarie, porti e ospedali: in questi casi le organizzazioni hanno individuato e riconosciuto gli attacchi subito. Molte aziende, però, ancora non sono in grado di farlo e le mancate segnalazioni ostacolano la valutazione dei rischi e la risposta alle minacce”.
“Spesso non si comprende il livello reale di rischio dal punto di vista della cyber security che può derivare dalla crescente connettività nel settore delle infrastrutture critiche”, continua l’analista di Kaspersky Lab, che rivela al nostro sito i risultati di una ricerca secondo la quale “addirittura per il 61% delle persone coinvolte nello studio l’implementazione dell’universo IoT nei propri sistemi ICS/OT è una sfida trascurabile dal punto di vista della sicurezza informatica, o addirittura inesistente”.
L’evoluzione dei ransomware è, invece, la nuova tendenza del cyber crimine secondo Diego Gagliardo, COO di Endian: “L’attacco alla norvegese Norsk Hydro è un esempio di come i ransomware, o più in genere i malware, si stiano trasformando e stiano espandendo il proprio raggio di azione, aggiungendo ai propri target vittime importanti e delicate come i siti produttivi di grosse compagnie. Colpendo le strutture industriali aumentano di molto l’entità economica del danno: nel solo 2017, ad esempio, secondo fonti della Casa Bianca e del governo inglese, il ransomware Not Petya ha prodotto danni per oltre 10 miliardi di dollari, colpendo industrie e case farmaceutiche in tutto il mondo”.
“Fondamentale per proteggersi”, secondo l’analista di Endian, “è avere un backup strutturato, un sistema educativo dei propri impiegati al fine di insegnare a riconoscere le fonti a rischio, e dotarsi di strumenti informatici che segmentino le reti e analizzino in modo attivo il traffico”.
Analisi tecnica di LockerGoga
Dall’analisi del codice malevolo di LockerGoga si scopre che per passare inosservato ai sistemi di sicurezza aziendali è stato “firmato” dai criminal hacker usando un certificato digitale rilasciato da Sectigo ad ALISA LTD. Il certificato, ovviamente, è stato immediatamente revocato, ma non è escluso che i criminal hacker siano già in possesso di altri certificati aggiornati.
Durante il processo di infezione, l’eseguibile LockerGoga viene copiato nella directory %TEMP% del sistema della vittima ed eseguito.
Alcune varianti di LockerGoga, inoltre, tentano di cancellare i registri eventi di Windows utilizzando la seguente sintassi dei comandi:
“C:\Windows\system32\wevtutil.exe” cl Microsoft-Windows-WMI-Activity/Trace
LockerGoga crea quindi la nota di riscatto e inizia il processo di crittografia di file e cartelle archiviate nel sistema infetto. Il malware supporta molti dei tipi di file più comuni che le organizzazioni utilizzano solitamente per memorizzare dati importanti: DOC, DOT, WBK, DOCX, DOTX, DOCB, XLM, XLSX, XLTX, XLSB, XLW, PPT, POT, PPS, PPTX, POTX, PPSX, SLDX e PDF. I file originali vengono quindi cancellati e sostituiti con quelli crittografati che si riconoscono per l’estensione *.LOCKED. A differenza di altri ransomware, inoltre, LockerGoga codifica anche il contenuto della directory Recycle Bin (il cestino) della vittima.
Completata questa fase, LockerGoga crea la nota di riscatto sul desktop della vittima nel file di testo README_LOCKED.txt.
È interessante notare che nella nota non ci sono istruzioni per l’utilizzo di un portale di pagamento del riscatto, né vengono indicati gli indirizzi di wallet Bitcoin o Monero. Più semplicemente, vengono fornite le istruzioni per contattare il distributore di malware tramite alcuni indirizzi e-mail che variano a seconda del campione analizzato del malware.
Al momento, inoltre, gli analisti non hanno individuato alcuna struttura di comando e controllo dedicata (C2).
Infine, una curiosità: i criminal hacker che hanno sviluppato l’ultima variante di LockerGoga che ha colpito anche gli impianti industriali di Norsk Hydro offrono la possibilità di decriptare gratuitamente un piccolo numero di file criptati per “convincere” le vittime della legittimità dell’operazione e massimizzare la probabilità che la vittima paghi la richiesta di riscatto.
Difendersi da LockerGoga: i consigli degli esperti
La risposta di Norsk Hydro all’attacco subito è comunque un ottimo esempio di incident response, sia da un punto di vista operativo sia per quel che riguarda la gestione delle comunicazioni durante tutto l’attacco.
Secondo Vladimir Dashchenko di Kaspersky Lab “è positivo vedere come Norsk Hydro abbia rifiutato di soddisfare le richieste dei cyber criminali e di pagare il riscatto, sapendo di poter contare sui propri backup di sicurezza pronti all’uso. Senza questi backup, le conseguenze di un simile attacco sarebbero state estremamente gravi. Un altro importante elemento da considerare è il fatto che, nel corso dell’attacco, gli impianti per l’energia sono state isolati dalla rete principale e quindi non sono stati colpiti. Un’organizzazione industriale così articolata, come una fabbrica o un impianto per la fusione, è complessa da proteggere, proprio perché la sua infrastruttura è costituita da tanti elementi e le vulnerabilità presenti, anche in quelli meno rilevanti, possono diventare delle porte di acceso all’intera rete. Nella maggior parte delle organizzazioni un attacco del genere potrebbe portare ad un’interruzione della produzione o ad una perdita importante in termini economici, ma per impianti come questo potrebbe avere come conseguenza anche danni fisici alla produzione.”
L’attacco condotto ai danni di Norsk Hydro è utile a sottolineare ancora una volta l’importanza dei backup e di testati piani di ripristino, necessari a salvaguardare la necessaria continuità aziendale.
Per evitare scenari di questo tipo, è dunque opportuno seguire alcune “best practice” di cyber security:
- effettuare periodiche valutazioni sulla sicurezza dell’organizzazione;
- eseguire regolarmente i backup;
- installare il prima possibile le patch su tutti i software presenti nell’infrastruttura dell’organizzazione;
- istruire i dipendenti sulla “cyber security hygiene”;
- adottare e implementare una soluzione di sicurezza affidabile per le aziende.
