Hydro, il gigante dell’alluminio, colpito da un ransomware

20 Mar 2019

Negli ultimi anni abbiamo descritto diversi incidenti che hanno visto come protagonisti i ransomware e che hanno colpito grandi infrastrutture come ospedali, mezzi di trasporto o persino i computer governativi di un’intera contea. Successivamente è arrivata l’era dei wiper, con le epidemie WannaCry, ExPetr e Bad Rabbit, che si sono diffuse in tutto il mondo e hanno messo KO l’operatività di numerose aziende.

Per fortuna, non abbiamo assistito a situazioni di simile portata negli ultimi dodici mesi, ma non certo perché i cybercriminali abbiano gettato la spugna. Il 19 marzo scorso, il gigante norvegese della produzione di alluminio, Hydro, ha ammesso di essere stato colpito da un ransomware che ha interessato l’intera azienda.

L’attacco a Hydro: ecco cosa è successo

In base a quanto affermato da un portavoce di Hydro in conferenza stampa, verso mezzanotte del fatidico giorno, il team di sicurezza di Hydro ha notato dell’attività sospetta sui server della compagnia. Si sono resi conto che l’infezione si stava diffondendo e hanno cercato di contenerla, riuscendoci solo in parte. Quando hanno potuto isolare gli impianti, l’intera rete era già stata completamente infettata. Hydro non ha specificato il numero di computer coinvolti, ma l’azienda ha 35 mila dipendenti per cui si tratta di un volume certamente importante.

Il team di Hydro sta lavorando ininterrottamente, 24 ore su 24 e 7 giorni su 7, e stanno ottenendo risultati, almeno parziali. Gli impianti energetici non sono stati interessati perché sono stati isolati dalla rete centrale, la miglior cosa da fare quando sono coinvolte delle infrastrutture critiche. Gli impianti di fusione, invece, non sono stati isolati e negli ultimi anni sono molto più automatizzati rispetto al passato; per questo sono stati colpiti alcuni impianti situati in Norvegia e il team è riuscito a ripristinarne alcuni, anche se in modalità semi manuale e più rallentata. In ogni caso, in base a quanto confermato da Hydro, “l’impossibilità di collegarsi ai sistemi di produzione ha causato problematiche nella produzione e ci siamo visti obbligati a fermare diversi impianti”.

Nonostante la sua grande portata, l’attacco non ha minato completamente l’operatività di Hydro. Sebbene i dispositivi Windows siano stati cifrati e resi quindi inutili, i telefoni e i tablet non Windows hanno continuato a funzionare, il che ha permesso ai dipendenti di comunicare e di far fronte alle necessità dell’azienda. La costosa infrastruttura critica come i bagni per la produzione dell’alluminio, che costano ognuno circa 10 milioni di euro, non sembrano aver subito conseguenze per via dell’attacco. L’incidente informatico non ha provocato problemi di sicurezza e nessuno è rimasto ferito. Hydro spera di poter ripristinare più dati possibili grazie ai backup.

Analisi: cosa è andato bene e cosa no

Probabilmente Hydro avrà bisogno di un bel po’ di tempo per ripristinare completamente la sua operatività e anche per le indagini ci sarà bisogno di tempo e sforzi da parte di Hydro e delle autorità norvegesi.  Per il momento, non si è d’accordo su quale ransomware sia stato utilizzato per l’attacco e chi ci sia dietro.

Le autorità stanno vagliando numerose ipotesi; una tra queste è che Hydro sia stata attaccata dal ransomware LockerGoga, che Bleeping Computer descrive come “lento” (e siamo d’accordo con questo aggettivo) e “poco attento ai dettagli”, insomma che “non fa nulla per evitare di essere individuato”. Nel messaggio di richiesta di riscatto non viene specificata la somma esatta richiesta dai cybercriminali per decifrare i computer, ma sì viene indicato un indirizzo che le vittime dovrebbero contattare.

Sebbene non siano ancora state completate le indagini, possiamo dire cosa ha fatto bene Hydro e cosa no in questo frangente.

Bene:

  1. Gli impianti energetici sono stati isolati dalla rete principale ed è per questo che non sono stati coinvolti;
  2. Il team di sicurezza è riuscito a isolare piuttosto velocemente gli impianti di fusione, che hanno continuato a funzionare (anche se la maggior parte in modalità semi manuale);
  3. I dipendenti hanno potuto continuare a comunicare normalmente anche dopo l’incidente, il che vuol dire che il server di comunicazione era stato protetto abbastanza bene e non è stato interessato dall’infezione;
  4. Hydro ha effettuato backup che dovrebbero permettere di ripristinare i dati cifrati per poter proseguire con le normali operazioni;
  5. Hydro ha stipulato un’assicurazione che dovrebbe coprire parte dei costi derivanti dall’incidente.

Male:

  1. Probabilmente la rete non è stata segmentata in modo adeguato, altrimenti sarebbe stato molto più facile evitare che il ransomware si diffondesse fino a questo punto, contenendo così la portata dell’attacco;
  2. La soluzione di sicurezza utilizzata da Hydro non è stata abbastanza robusta e non è riuscita a individuare il ransomware (nonostante sia abbastanza nuovo, LockerGoga è un ransomware piuttosto conosciuto, ad esempio, da Kaspersky Endpoint Security con il nome Trojan-Ransom.Win32.Crypgen.afbf);
  3. Avrebbero dovuto aggiungere un software anti-ransomware alla soluzione di sicurezza adottata, come ad esempio il nostro Kaspersky Anti-Ransomware Tool, che può essere installato come accompagnamento ad altre soluzioni di sicurezza ed è in grado di proteggere il sistema da tutti i tipi di ransomware, dai miner e da altri elementi poco graditi.