Esos costos reflejan principalmente pérdidas de ingresos, pero también incluyen el costo de recuperación y servicios de TI y seguridad, dice Norsk Hydro, el segundo empleador más grande en Noruega que tiene operaciones en todo el mundo.
Poco más de una semana después de que se informara por primera vez del ataque de ransomware, la mayoría de las instalaciones y sistemas de fabricación de la compañía han vuelto a la normalidad, aunque la división de Soluciones Extruidas de la empresa está funcionando entre el 70 y el 80 por ciento de la capacidad, informó la compañía el martes. Esa división produce productos de aluminio extruido y laminado para la empresa. La mayoría de las pérdidas financieras del ataque provienen de la falta de producción dentro de esa unidad, que tiene instalaciones en varios países.
Las otras cuatro divisiones de Norsk Hydro funcionan normalmente, aunque algunas requieren mayores operaciones manuales.
«Una semana después nos sentimos aliviados de poder confirmar que hemos logrado mantener nuestras operaciones, entregas de clientes y otras obligaciones internas y externas», dice el Oficial Principal de Finanzas Eivind Kallevik. «Nuestras organizaciones globales de TI, operadores y funciones de soporte han hecho un trabajo tremendo durante este período. Y a través de su determinación, ingenio y experiencia impresionantes, encontraron formas nuevas y alternativas de mantener nuestras ruedas funcionando a pesar del impacto en nuestras capacidades de TI».
Modo de recuperación
Desde ese ataque de ransomware el 18 de marzo, los equipos de TI y seguridad de Hydro han aislado el malware para evitar que se propague aún más, según la compañía. Al mismo tiempo, la compañía ha estado utilizando sus diversos sistemas de respaldo para recuperar datos.
Hydro anunció que no tiene la intención de pagar el rescate.
Si bien aún es temprano en el proceso, Kallevik señala que es probable que el costo estimado de $ 40 millones aumente en las próximas semanas, aunque no tan rápido como durante la primera semana de recuperación. La compañía tiene un seguro cibernético con AIG, agrega, pero no dijo si la política cubrirá los ingresos perdidos, así como el costo de la limpieza del ataque.
Todavía no está claro si los costos totales del ataque serán comparables a otros incidentes recientes de ransomware que se dirigieron a corporaciones.
Por ejemplo, la compañía naviera danesa AP Møller – Maersk reportó una pérdida de $ 200 millones a $ 300 millones luego de un ataque relacionado con el ransomware NotPetya. Otra víctima del ataque NotPetya, Reckitt Benckiser, con sede en el Reino Unido, que fabrica artículos para el hogar y productos farmacéuticos, informó una pérdida de aproximadamente $ 129 millones.
LockerGoga sospechoso
Hydro aparentemente fue golpeado por una cepa relativamente nueva de ransomware conocida como LockerGoga. Los atacantes pueden usar varios métodos diferentes para enviar el malware a una red, incluido el uso de credenciales de protocolo de escritorio remoto robadas, métodos de fuerza bruta, correos electrónicos de phishing o atacar una vulnerabilidad sin parches, según el investigador de seguridad británico Kevin Beaumont y otros investigadores de seguridad .
En el caso de Hydro, los atacantes parecen haber utilizado los servicios de Active Directory de la compañía para difundir el ransomware a través de puntos finales, según el Equipo de Respuesta de Emergencia Informática de Noruega.
Desde principios de año, LockerGoga es sospechoso en cuatro ataques. Los otros ataques se dirigieron a la empresa de ingeniería francesa Altran, así como a un par de instalaciones de fabricación de productos químicos en los EE. UU.
En los cuatro casos, LockerGoga se usó como parte de un ataque dirigido que se centró en una empresa o empresa como víctima, según Beaumont y otros investigadores de seguridad. El ransomware no funciona de la manera en que WannaCry o NotPetya se propagan de un sistema infectado a otro, y podría pasar de un negocio a otro.
«Actualmente, LockerGoga no admite ninguna capacidad similar a un gusano que le permita propagarse automáticamente al infectar hosts adicionales en una red de destino», según la Unidad 42 de la Red de Palo Alto, que ha publicado un análisis del ransomware. «Hemos observado a LockerGoga moverse por una red a través del protocolo de bloque de mensajes del servidor (SMB), que indica que los actores simplemente copian manualmente los archivos de una computadora a otra».
En otro análisis, los investigadores de Cisco Talos notaron otras anomalías con LockerGoga, incluido el hecho de que los actores de la amenaza detrás del ataque no han ofrecido a las víctimas una billetera Bitcoin o Monero específica donde se pueda depositar un rescate, sino que se les pidió que se contactaran a través de una dirección de correo electrónico para instrucciones
Además, Cisco Talos señaló que LockerGoga cifra cada archivo individualmente, lo que requiere una sobrecarga considerable.
Nivel creciente de sofisticación
Los investigadores de la Unidad 42 observan que quien está detrás de LockerGoga parece estar agregando nuevas capacidades al ransomware, incluida la capacidad de manipular WS2_32.dll, una biblioteca vinculada dinámicamente en Windows que se usa para manejar conexiones de red, así como el uso de Windows indocumentado APIs. Esto muestra un nivel creciente de sofisticación que eventualmente puede conducir a la capacidad de instalar capacidades de comando y control.
La Unidad 42 señala: «Estas características plantean más preguntas sobre la intención del actor, ya que el ransomware suele ser una de las formas menos avanzadas de malware: ¿están motivados por ganancias u otra cosa? ¿Ha cambiado el motivo con el tiempo? ¿Por qué los desarrolladores pondrían tanto esfuerzo en ¿solo trabajan para encriptar parcialmente los archivos? ¿Por qué incluyen una dirección de correo electrónico y no buscan el pago a través de las criptomonedas utilizadas con más frecuencia? «
Get Involved & Participate!
Comments