LockerGoga ransomware

LockerGoga ransomware: Indicators of Compromise

- 21 March 2019

Deze week verschenen er in de internationale media berichten over diverse organisaties die zijn getroffen door een nieuwe ransomwarecampagne met de naam LockerGoga. Via deze weg willen we je graag informeren over de recente cyberaanval met ransomware. Er zijn diverse Indicators of Compromise (IoC’s) beschikbaar die kunnen wijzen op de aanwezigheid van LockerGoga-malware. Om organisaties te ondersteunen in de detectie en preventie hebben we het document via een FERM-mailing naar de achterban gestuurd en delen we de IoC’s bij dezen ook via de website.

Je vindt de IoC's op ferm-rotterdam.nl/documenten of rechtstreeks via deze link (PDF).

LockerGoga ransomware

LockerGoga is een vorm van ransomware die niet afhankelijk is van het gebruik van netwerkverkeer, domeinnaamsysteem of command- en control-servers, zo berichtte een onderzoeker van ArsTechnica. Die onafhankelijkheid maakt het voor LockerGoga mogelijk om veel netwerkverdedigingen te omzeilen.

De Noorse aluminiumfabrikant Norsk Hydro kwam in het kader van LockerGoga in het nieuws. Het wereldwijde netwerk werd platgelegd en installaties stopgezet of verstoord. De malware werd ontdekt op computers in de VS op maandagavond, maar op dinsdagochtend was het al verspreid naar andere onderdelen van het bedrijf, dat in 40 landen actief is.

Financieel directeur Eivind Kallevik heeft laten weten dat de aanval op het bedrijf inderdaad om een ransomwarevirus gaat en dat de nog onbekende aanvaller contact heeft opgenomen, maar nog geen losgeld heeft geëist. Het bedrijf werkt aan een oplossing en probeert data via back-ups terug te halen. Reuters en de Noorse omroep NRK zeggen te hebben begrepen dat het gaat om het LockerGoga-virus, dat volgens NRK eerder gebruikt werd bij een aanval tegen het Franse Altran, de internationale dienstverlener in R&D en engineering die eind januari werd getroffen.

Werkwijze en IoC’s

De aanpak voor de verspreiding van LockerGoga is nog niet volledig bekend, maar indicatoren wijzen erop dat de aanvaller van tevoren toegang heeft verkregen en naar de Active Directory is genavigeerd totdat hij een geprivilegieerd account heeft gekregen. Vervolgens lijkt dat account te worden gebruikt om een batchbestand te starten dat verschillende diensten zoals antivirus stopt en vervolgens de ransomware activeert om gegevens te versleutelen. In verschillende gevallen worden argumenten doorgegeven aan het binaire systeem, zoals ‘-m$emailaddress’, en dat emailadres wordt vervolgens getoond in de ransom note. Zodra de encryptie is gestart, wordt de gebruiker uitgelogd door logoff.exe uit te voeren en kan er niet meer ingelogd worden omdat het wachtwoord is overschreven.

We hebben aanleiding om aan te nemen dat de campagne ook in Nederland speelt. Gebruik daarom de beschikbare IoC’s die bijvoorbeeld kunnen helpen bij het blokkeren van potentiële afzenders en het herkennen/blokkeren van malafide verkeer.

 

VIND FERM OOK OP TWITTER | LINKEDIN | FACEBOOK