Empresa productora de aluminio sufre ataque de Ransomware afectando la producción

La empresa noruega de metales y energía, Norsk Hydro, (uno de los mayores productores de aluminio del mundo), se vio afectada por un ataque de ransomware que impactó las operaciones.

Este martes los representantes de la empresa revelaron que sufrieron un ataque que calificaron como »extenso» el cual comenzó el lunes cuando el equipo de seguridad de la compañía notó una actividad inunsual en su red global. Afirmaron que el ransomware del cual fueron víctimas está diseñado para cifrar archivos, pero aún tienen que determinar exactamente a qué familia de malware pertenece.

El CERT nacional de Noruega, informó que el ataque fue impulsado por un ransomware relativamente nuevo llamado LockerGoga y que también puede haber involucrado un ataque al sistema Active Directory de la compañía.

También se cree que LockerGoga se usó a principios de este año en un ataque dirigido a la consultora de ingeniería francesa Altran Technologies.

Los investigadores de MalwareHunterTeam informaron haber visto una muestra de LockerGoga subida a VirusTotal desde Noruega el martes y creen que es «probablemente» la utilizada en el ataque de Hydro.

Mientras se siguen desarrollando los detalles del incidente de Norsk Hydro, CrowdStrike Intelligence ha podido identificar una nueva muestra del ransomware LockerGoga que se cargó en un repositorio público de malware en dos archivos ZIP de una dirección IP con sede en Oslo, Noruega.

Norsk Hydro dice que tiene copias de seguridad recientes que deberían ayudarlos a restaurar archivos encriptados sin la necesidad de pagar el rescate exigido por los atacantes.

La nota de rescate de archivos que envía LockerGoga no especifica ninguna cantidad. Sólo indica a las víctimas que se comuniquen con los atacantes por correo electrónico para obtener información sobre el precio de la herramienta de descifrado de archivos.

En el caso del ataque de Norsk Hydro, el ransomware logró propagarse a múltiples plantas e impactó las operaciones en varias «áreas comerciales». Sin embargo, la compañía dice que no ha provocado incidentes relacionados con la seguridad.

Norsk Hydro dijo que la producción en sus unidades de Energía y Bauxita y Alúmina se está ejecutando normalmente, y ninguna planta fuera de Noruega parece haber sido afectada. Las plantas en Noruega supuestamente funcionan normalmente, pero se han visto obligadas a depender en gran medida de los procesos manuales.

Norsk Hydro ha estado colaborando con expertos externos en ciberseguridad y la Autoridad de Seguridad Nacional de Noruega para responder al ataque e investigarlo.

La organización dice que las pérdidas son mínimas en este momento, pero probablemente aumentarán según el tiempo que demore la restauración de los sistemas.

Los pedidos actuales de los clientes se gestionan utilizando impresiones y agregando más personas a cada turno, pero algunos pedidos futuros pueden verse afectados, dependiendo de cada planta. El gigante de aluminio dijo que utilizó este tipo de procesos manuales hace varios años, lo que ayuda a lidiar con esta situación.

Actualización: El director financiero de la compañía anunció que no pagarán el rescate de los archivos y que comenzaron a restaurar su infraestructura de TI a partir de copias de seguridad.

Aún así, desde la empresa describieron el incidente como »desastroso», ya que el ransomware afectó la producción y los sistemas informáticos.  En dos conferencias de prensa la compañía afirmó que no tener acceso a los pedidos de los clientes era el mayor obstáculo con el que tenían que lidiar para mantener las líneas de producción.