LogPoint Ransomware Analyse

Norsk Hydro Hack: LockerGoga Ransomware schlägt erneut zu

, München, LogPoint | Autor: Herbert Wieler

Norsk Hydro Hack: LockerGoga Ransomware schlägt erneut zu

Ransomware-Analyse von LogPoint

Kommentar von Pascal Cronauer, Regional Director Central EMEA bei LogPoint

Pascal Cronauer, Regional Director Central EMEA bei LogPoint

Die Ransomware LockerGoga hat Anfang 2019 durch einen Angriff auf das französische Beratungsunternehmen Altran Technologies die Weltöffentlichkeit aufgeschreckt. Nun hat sie erneut zugeschlagen, nämlich bei Norsk Hydro, Skandinaviens größten und international bekannten Aluminiumproduzenten.

Eivind Kallevik, CFO von Norsk Hydro, erklärte am 18. März gegen 12 Uhr, dass die interne IT-Abteilung den Angriff auf die Computersysteme in mehreren Geschäftsbereichen erkannt habe. Er versicherte der Öffentlichkeit auch, dass trotz der Unterbrechung die Mitarbeiter von Norsk Hydro von diesem Angriff in keinster Weise ins Visier genommen wurden.

Die Security-Forscher von LogPoint haben die Ransomware näher unter die Lupe genommen. LockerGoga zeigt Ähnlichkeiten mit anderen aktuellen groß angelegten Ransomware-Angriffen wie CottleAkela oder Gorgon. Diese Malware wurde entwickelt, um auf sensible Benutzerdaten auf infizierten Geräten zuzugreifen und die dort gespeicherten Daten zu verschlüsseln. Sie versendet entweder bösartige E-Mails oder setzt andere Formen des Social Engineering ein, um Opfer zum Herunterladen einer bösartigen Datei zu verleiten oder auf einen Link zu klicken, der zum automatischen Herunterladen dieser Datei führt und/oder Exploit-Kits verwendet.

Sobald das Opfer zum Öffnen des bösartigen Anhangs verleitet wurde, verschlüsselt die Ransomware die Dateien mit dem AES- oder einem ähnlichen Verschlüsselungs-Algorithmus. Im Falle von LockerGoga verwendeten die Angreifer die Kryptographie-Algorithmen RSA-4096 und AES-256 mit folgendem Anhang:

  • .locked!?“
  • „.locked“

Die Datei README-NOW.txt zeigt an:

Im Fall der Ransomware LockerGoga sind die gefährdeten Dateiendungen: pdf, ppt,.pot,.potx,.potx,.ppsx,.sldx,.doc,.dot,.dotx,.docb,.xlm,.xlsx,.xltx,.pps,.pps,.pptx,.xlsb,.xlw und .wbk.

Die SIEM-Software von LogPoint bietet Unternehmen ein umfassendes Paket, um auch diese Malware-Infektion in wenigen einfachen Schritten zu erkennen. Die Log-Quelle Sysmon/Windows Server/Integrity Scanner muss auf bösartige Dateiinstallationen und mit Malware infizierte Hosts analysiert werden. Außerdem muss auch der Mailserver auf verdächtige E-Mails überprüft werden. Die SIEM-Software unterstützt die Sicherheitsverantwortlichen bei ihrer Arbeit durch automatisiertes Sicherheits-Monitoring, dass, unterstützt durch maschinelles Lernen, auch verhaltensbasierte Angriffe erkennt und über Alarmmeldungen informiert.