Depuis mardi dernier, l’entreprise norvégienne est la victime d’un ransomware, potentiellement le même que celui qui a frappé en janvier Altran. Connu sous le nom de LockerGoga, ce rançongiciel particulièrement pernicieux ne sert pas à des campagnes de diffusion mondiale, mais à des attaques ciblées.
Depuis mardi dernier, Norsk Hydro est la cible d’une cyberattaque par ransomware. Ce géant de l’aluminium et de l'énergie expliquait alors que les systèmes informatiques de la plupart de ses activités étaient impactés, l’obligeant à passer ses opérations en mode manuel. Dès le lendemain, la société indiquait être remontée à la source du problème et avoir en conséquence « isolé toutes les usines et opérations et être passé aux opérations et procédures manuelles » afin de poursuivre son activité et limiter la propagation du rançongiciel.
Norsk Hydro s’est livré à un exercice de transparence tout à fait louable, livrant quotidiennement depuis le début de l’attaque des communiqués et des mises à jour sur l’état de l’attaque et sur son statut opérationnel. L’entreprise norvégienne est allée jusqu’à effectuer des conférences de presse diffusées en live mardi et jeudi dernier. « Bien que la situation évolue de jour en jour, nous ne savons toujours pas combien de temps sera nécessaire pour rétablir des opérations stables. Nous devons traiter les parties infectées de notre réseau avant de rouvrir les parties saines » explique Jo De Vliegher, responsable des systèmes d'information de l’entreprise norvégienne.
Si Norsk Hydro n’a pas fourni de détails supplémentaires sur la nature du ransomware, de nombreux chercheurs en sécurité se sont penchés sur son cas. L’hypothèse la plus répandue prête l’infection des systèmes informatiques du deuxième producteur d’énergie de Norvège à LockerGoga (ici l’analyse de TrendMicro). Ce même virus aurait également infecté Altran plus tôt cette année. Il se distingue notamment par l’utilisation de certificats de sécurité valides pour infecter les systèmes informatiques cibles, selon une note du CERT-FR en date du 31 janvier.
Un ransomware ciblé
Contrairement à des Wannacry ou NotPetya, LockerGoga ne dispose d’aucun mécanisme lui permettant de se diffuser automatiquement dans un système (latéralisation). Ce ransomware se destine en conséquence à des attaques extrêmement ciblées, et non à des campagnes de propagation massives. Dans le cas de Norsk, certains chercheurs expliquent qu’il est probable que les attaquants soient d’abord parvenu à s’introduire dans le réseau de l’entreprise et aient mis en œuvre, avec un niveau de droit suffisamment élevé, une stratégie Active Directory pour envoyer le « cryptolocker » vers un maximum de machines.
Une fois installé, LockerGoga va non seulement chiffrer un certain nombre de fichiers, mais aussi modifier les mots de passe systèmes sur les postes infectés. Il tente également de désactiver les cartes réseau des machines afin de déconnecter le système de toute connexion externe, obligeant ainsi la victime à une restauration manuelle. Quant aux attributions, personne ne préfère se prononcer dans l’immédiat, d’autant qu’il est probable que LockerGoga fasse partie des « rancongiciels "prêts-à-l'emploi" (Ransomware-as-a-Service, RaaS) ».