image

Aluminiumproducent Hydro bijna hersteld van ransomware

maandag 8 april 2019, 10:56 door Redactie, 13 reacties

De Noorse aluminiumproducent Norsk Hydro is na twee en een halve week bijna helemaal hersteld van de ransomware-infectie waar het op 19 maart mee te maken kreeg. Meerdere bedrijfsonderdelen werden door de LockerGoga-ransomware getroffen, waarop besloten werd om verschillende fabrieken stil te leggen en op handbediening terug te vallen.

De afgelopen weken is Hydro, één van de grootste aluminiumproducenten ter wereld, bezig met het herstellen van systemen en bedrijfsoperaties. In de eerste week richtte het bedrijf zich op het technisch herstel. Daarna werd er gekeken naar het herstel van de bedrijfsvoering en operaties. De bedrijfsdivisie die zich met aluminiumprofielen bezighoudt werd het zwaarst getroffen, maar inmiddels bedraagt de uitvoer weer 90 procent. Bij het onderdeel Building Systems, dat deel van deze divisie is, lag nagenoeg alles plat, maar is inmiddels 75 procent hersteld.

Wel merkt Hydro op dat de infectie voor vertragingen in bepaalde administratieve processen heeft gezorgd, waaronder de systemen voor rapportages, facturatie en rekeningen. De financiële schade van de infectie is nog altijd onbekend. Voor de eerste week van de besmetting kwam de aluminiumproducent met een voorlopige schatting van 31 tot 36 miljoen euro. Ook is nog altijd onbekend hoe de ransomware de systemen kon infecteren.

Reacties (13)
08-04-2019, 11:20 door Anoniem
De financiële schade van de infectie is nog altijd onbekend. Voor de eerste week van de besmetting kwam de aluminiumproducent met een voorlopige schatting van 31 tot 36 miljoen euro.
Keer twee en een half en nog een beetje vanwege de nasleep. Zit je redelijk gauw aan de honderd miljoen. Ruwe schatting.

Ook is nog altijd onbekend hoe de ransomware de systemen kon infecteren.
In detail mischien niet, wat ons tegelijk vertelt hoeveel inzicht ze hebben in hun systemen. Waarbij dan de vraag rijst of dat voldoende genoemd mag worden. Wat ook voor andere bedrijven reden moet zijn om zich achter de oren te krabben, want dit bedrijf zal vast de "best current industry practices" gevolgd hebben, oftewel ze hebben gedaan wat iedereen ook doet.

In het algemeen denk ik dat een root cause analysis doodsimpel is: De systemen waren vatbaar voor ransomware en evident niet voldoende afgeschermd. Dan kun je vol inzetten op "beter afschermen". Je kan ook inzetten op "systemen kiezen die niet (of tenminste dan veel minder) vatbaar zijn". Ik zie dat laatste nog veel te weinig gebeuren.

Dat heeft overigens minder met mijn persoonlijke voorkeuren voor softwareleveranciers van doen dan met het concept "monocultuur", bekend uit de gewasbescherming. Het zou al veel schelen als verschillende afdelingen verschillende systemen en bijvoorbeeld verschillende instructiesets zouden gebruiken, zodat een infectie bij de ene afdeling niet zomaar kan doorslaan op alle andere. Dit zijn dingen die vrijwel niet op te lossen zijn door maar meer applicatiesoftware bovenop je OS te stapelen. Je moet lager zitten en je moet het goed doen, niet achteraf een beetje halfslachtig.
08-04-2019, 11:39 door Anoniem
De schade valt mee als je Maersk er naast legt.
Die hebben het trouwens ook een stukje sneller gedaan. Binnen tien dagen alles weer up&running.
08-04-2019, 13:06 door karma4
Door Anoniem: De schade valt mee als je Maersk er naast legt.
Die hebben het trouwens ook een stukje sneller gedaan. Binnen tien dagen alles weer up&running.
Hoezo schade? De inrichting en installatie is bewust goedkoop gehouden, stel je voor dat ze dat allemaal perfect hadden moeten doen. Er is flink winst geboekt, alleen de gevolgen met onzekere risico's zat in een ander deel voor de bedrijfscijfers.
08-04-2019, 14:03 door [Account Verwijderd] - Bijgewerkt: 08-04-2019, 14:06
Door karma4:
Door Anoniem: De schade valt mee als je Maersk er naast legt.
Die hebben het trouwens ook een stukje sneller gedaan. Binnen tien dagen alles weer up&running.
Hoezo schade? De inrichting en installatie is bewust goedkoop gehouden, stel je voor dat ze dat allemaal perfect hadden moeten doen. Er is flink winst geboekt, alleen de gevolgen met onzekere risico's zat in een ander deel voor de bedrijfscijfers.

Goedkoop? Met al die Windows licenties? Niet perfect? Nee, dat blijkt. Heeft in totaliteit heel veel geld gekost!
08-04-2019, 15:22 door Anoniem
Door Kapitein Haddock:
Goedkoop? Met al die Windows licenties? Niet perfect? Nee, dat blijkt. Heeft in totaliteit heel veel geld gekost!
Windows licenties vallen in het niets icm de kosten van totale automatisering bij dit soort bedrijven.
Denk je nu echt dat ze de gratis versies van Linux gebruiken? Daar betalen ze ook onderhoudscontracten voor. En die kosten tikken ook flink aan in de totale licentie kosten.
08-04-2019, 15:54 door [Account Verwijderd] - Bijgewerkt: 08-04-2019, 15:56
Door Anoniem:
Door Kapitein Haddock:
Goedkoop? Met al die Windows licenties? Niet perfect? Nee, dat blijkt. Heeft in totaliteit heel veel geld gekost!
Windows licenties vallen in het niets icm de kosten van totale automatisering bij dit soort bedrijven.
Denk je nu echt dat ze de gratis versies van Linux gebruiken? Daar betalen ze ook onderhoudscontracten voor. En die kosten tikken ook flink aan in de totale licentie kosten.

Ze hebben daar hun eigen Linux distributie (Scientific Linux CERN 6 - https://linux.web.cern.ch/linux/scientific6/). Ze doen het dus gewoon zelf en het is wel degelijk gebaseerd op een gratis onderliggende Linux distributie - Red Hat Enterprise Linux 6 (Server). Dat had je toch ook zelf wel eventjes kunnen opzoeken voordat je bovenstaande onzin intikte.

En laten we wel wezen: uitbesteden omdat je het niet begrijpt is toch echt iets voor dommerikjes.
08-04-2019, 20:07 door Anoniem
Door Kapitein Haddock:
Door Anoniem:
Door Kapitein Haddock:
Goedkoop? Met al die Windows licenties? Niet perfect? Nee, dat blijkt. Heeft in totaliteit heel veel geld gekost!
Windows licenties vallen in het niets icm de kosten van totale automatisering bij dit soort bedrijven.
Denk je nu echt dat ze de gratis versies van Linux gebruiken? Daar betalen ze ook onderhoudscontracten voor. En die kosten tikken ook flink aan in de totale licentie kosten.

Ze hebben daar hun eigen Linux distributie (Scientific Linux CERN 6 - https://linux.web.cern.ch/linux/scientific6/). Ze doen het dus gewoon zelf en het is wel degelijk gebaseerd op een gratis onderliggende Linux distributie - Red Hat Enterprise Linux 6 (Server). Dat had je toch ook zelf wel eventjes kunnen opzoeken voordat je bovenstaande onzin intikte.

En laten we wel wezen: uitbesteden omdat je het niet begrijpt is toch echt iets voor dommerikjes.
Bij CERN bedoel je? Of bij Hydro?
Even niet vergeten dat CERN een hele grote IT afdeling heeft waarbij IT een core business heeft. Dat men daar een eigen distributie heeft, is niets meer dan logisch. Kennis is daar ruimschoots aanwezig. Niet je standaard omgeving, dus ook niet te vergelijken. Als je dat niet ziet, dan mis je wat.

Bij de normale bedrijven, is er gewoon een onderhoudscontract bij de grote Linux distributies. Dus betalen ze of link of rechtsom gewoon voor de licenties.
09-04-2019, 09:46 door Anoniem
Door Anoniem:
Ook is nog altijd onbekend hoe de ransomware de systemen kon infecteren.
In detail mischien niet, wat ons tegelijk vertelt hoeveel inzicht ze hebben in hun systemen. Waarbij dan de vraag rijst of dat voldoende genoemd mag worden. Wat ook voor andere bedrijven reden moet zijn om zich achter de oren te krabben, want dit bedrijf zal vast de "best current industry practices" gevolgd hebben, oftewel ze hebben gedaan wat iedereen ook doet.

In het algemeen denk ik dat een root cause analysis doodsimpel is: De systemen waren vatbaar voor ransomware en evident niet voldoende afgeschermd. Dan kun je vol inzetten op "beter afschermen". Je kan ook inzetten op "systemen kiezen die niet (of tenminste dan veel minder) vatbaar zijn". Ik zie dat laatste nog veel te weinig gebeuren.

In het algemeen is een root cause analysis tamelijk lastig. Vooral als je weet dat dit waarschijnlijk een gerichte aanval was. Je hebt geen idee hoe lang ze al in het netwerk aanwezig waren, en zich rustig hielden. Het kan het resultaat van een phishing van maanden geleden zijn. Daar heb je geen logging meer van.

Peter
09-04-2019, 10:08 door Anoniem
Denk je nu echt dat ze de gratis versies van Linux gebruiken?

FYI elk bedrijf wat een beetje groot is heeft wel iets van linux draaien, al dan niet in productie of geauthoriseerd.
09-04-2019, 13:09 door Anoniem
Door Anoniem: In het algemeen is een root cause analysis tamelijk lastig. Vooral als je weet dat dit waarschijnlijk een gerichte aanval was.
Dat weet ik niet. Is ook niet zo relevant als het mischien lijkt. Want:

Je hebt geen idee hoe lang ze al in het netwerk aanwezig waren, en zich rustig hielden. Het kan het resultaat van een phishing van maanden geleden zijn. Daar heb je geen logging meer van.
Maar je hebt het toen dus wel al over het hoofd gezien en niet gemerkt dat iemand je systemen binnengedrongen is.

Waarmee dus nog steeds de genoemde euvels van vatbare software en niet voldoende inzicht in je winkeltje aanwijsbaar zijn als duidelijk contribuerende problemen.
10-04-2019, 08:03 door Anoniem
Door Anoniem:
Denk je nu echt dat ze de gratis versies van Linux gebruiken?

FYI elk bedrijf wat een beetje groot is heeft wel iets van linux draaien, al dan niet in productie of geauthoriseerd.
Dat ontken ik ook toch niet? Linux is ook een goed systeem, dat zal niemand ontkennen.

Wil niet zeggen dat het goed onderhouden wordt of goed ingericht is.
10-04-2019, 09:42 door Anoniem
Voor alle Windows haters: Ze gaan gewoon verder met Windows, in samenwerking met Microsoft zelfs. Sterkte met de verwerking hiervan.

Voor degene die inhoudelijk geïnteresseerd zijn: https://doublepulsar.com/how-lockergoga-took-down-hydro-ransomware-used-in-targeted-attacks-aimed-at-big-business-c666551f5880
10-04-2019, 13:01 door Anoniem
Door Anoniem: Voor alle Windows haters: Ze gaan gewoon verder met Windows, in samenwerking met Microsoft zelfs. Sterkte met de verwerking hiervan.
Stel nou dat zoiets nog een keer gebeurt. Stellen ze dan die "hulp" ook aansprakelijk?

Voor degene die inhoudelijk geïnteresseerd zijn: https://doublepulsar.com/how-lockergoga-took-down-hydro-ransomware-used-in-targeted-attacks-aimed-at-big-business-c666551f5880
Ugh. medium.com. En helaas meer speculatie en gebabbel over zichzelf dan inhoudelijk over deze casus.

Hij heeft wel gelijk dat de "cyber security" industrie vooral gebakken lucht is. Saillant detail: In z'n lijstje aanbevelingen staat wel "backups" maar niet "test je backups". Verder was deze "achtergrond" niet werkelijk mijn tijd waard.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.