lundi 18 novembre 2019    || Inscription
BanniereNews
 
 

L’entreprise norvégienne est la victime d’un ransomware, potentiellement le même que celui qui a frappé en janvier Altran. Connu sous le nom de LockerGoga, ce rançongiciel particulièrement pernicieux ne sert pas à des campagnes de diffusion mondiale, mais à des attaques ciblées.

Depuis mardi dernier, Norsk Hydro est la cible d’une cyberattaque par ransomware. Ce géant de l’aluminium et de l'énergie expliquait alors que les systèmes informatiques de la plupart de ses activités étaient impactés, l’obligeant à passer ses opérations en mode manuel. Dès le lendemain, la société indiquait être remontée à la source du problème et avoir en conséquence « isolé toutes les usines et opérations et être passé aux opérations et procédures manuelles » afin de poursuivre son activité et limiter la propagation du rançongiciel.

Norsk Hydro s’est livré à un exercice de transparence tout à fait louable, livrant quotidiennement depuis le début de l’attaque des communiqués et des mises à jour sur l’état de l’attaque et sur son statut opérationnel. L’entreprise norvégienne est allée jusqu’à effectuer des conférences de presse diffusées en live mardi et jeudi dernier. « Bien que la situation évolue de jour en jour, nous ne savons toujours pas combien de temps sera nécessaire pour rétablir des opérations stables. Nous devons traiter les parties infectées de notre réseau avant de rouvrir les parties saines » explique Jo De Vliegher, responsable des systèmes d'information de l’entreprise norvégienne.

Si Norsk Hydro n’a pas fourni de détails supplémentaires sur la nature du ransomware, de nombreux chercheurs en sécurité se sont penchés sur son cas. L’hypothèse la plus répandue prête l’infection des systèmes informatiques du deuxième producteur d’énergie de Norvège à LockerGoga (ici l’analyse de TrendMicro). Ce même virus aurait également infecté Altran plus tôt cette année. Il se distingue notamment par l’utilisation de certificats de sécurité valides pour infecter les systèmes informatiques cibles, selon une note du CERT-FR en date du 31 janvier. Lire aussi son bulletin d'actualité du 26 mars.

Un ransomware ciblé

Contrairement à des Wannacry ou NotPetya, LockerGoga ne dispose d’aucun mécanisme lui permettant de se diffuser automatiquement dans un système (latéralisation). Ce ransomware se destine en conséquence à des attaques extrêmement ciblées, et non à des campagnes de propagation massives. Dans le cas de Norsk, certains chercheurs expliquent qu’il est probable que les attaquants soient d’abord parvenu à s’introduire dans le réseau de l’entreprise et aient mis en œuvre, avec un niveau de droit suffisamment élevé, une stratégie Active Directory pour envoyer le « cryptolocker » vers un maximum de machines.

Une fois installé, LockerGoga va non seulement chiffrer un certain nombre de fichiers, mais aussi modifier les mots de passe systèmes sur les postes infectés. Il tente également de désactiver les cartes réseau des machines afin de déconnecter le système de toute connexion externe, obligeant ainsi la victime à une restauration manuelle. Quant aux attributions, personne ne préfère se prononcer dans l’immédiat, d’autant qu’il est probable que LockerGoga fasse partie des « rancongiciels "prêts-à-l'emploi" (Ransomware-as-a-Service, RaaS) ».




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI

TRUSTECH

Cet événement international dédié aux paiements, à l'identification et à la sécurité est organisé à Cannes (palais des festivals) du 26 au 28 novembre 2019. Organisé par Comexposium.

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

RSS