LockerGoga ransomware
LockerGoga is een vorm van ransomware die niet afhankelijk is van het gebruik van netwerkverkeer, domeinnaamsysteem of command- en control-servers, zo berichtte een onderzoeker van ArsTechnica. Die onafhankelijkheid maakt het voor LockerGoga mogelijk om veel netwerkverdedigingen te omzeilen.
De Noorse aluminiumfabrikant Norsk Hydro kwam in het kader van LockerGoga in het nieuws. Het wereldwijde netwerk werd platgelegd en installaties stopgezet of verstoord. De malware werd ontdekt op computers in de VS op maandagavond, maar op dinsdagochtend was het al verspreid naar andere onderdelen van het bedrijf, dat in 40 landen actief is.
Financieel directeur Eivind Kallevik heeft laten weten dat de aanval op het bedrijf inderdaad om een ransomwarevirus gaat en dat de nog onbekende aanvaller contact heeft opgenomen, maar nog geen losgeld heeft geëist. Het bedrijf werkt aan een oplossing en probeert data via back-ups terug te halen. Reuters en de Noorse omroep NRK zeggen te hebben begrepen dat het gaat om het LockerGoga-virus, dat volgens NRK eerder gebruikt werd bij een aanval tegen het Franse Altran, de internationale dienstverlener in R&D en engineering die eind januari werd getroffen.
Werkwijze en IoC’s
De aanpak voor de verspreiding van LockerGoga is nog niet volledig bekend, maar indicatoren wijzen erop dat de aanvaller van tevoren toegang heeft verkregen en naar de Active Directory is genavigeerd totdat hij een geprivilegieerd account heeft gekregen. Vervolgens lijkt dat account te worden gebruikt om een batchbestand te starten dat verschillende diensten zoals antivirus stopt en vervolgens de ransomware activeert om gegevens te versleutelen. In verschillende gevallen worden argumenten doorgegeven aan het binaire systeem, zoals ‘-m$emailaddress’, en dat emailadres wordt vervolgens getoond in de ransom note. Zodra de encryptie is gestart, wordt de gebruiker uitgelogd door logoff.exe uit te voeren en kan er niet meer ingelogd worden omdat het wachtwoord is overschreven.
We hebben aanleiding om aan te nemen dat de campagne ook in Nederland speelt. Gebruik daarom de beschikbare IoC’s die bijvoorbeeld kunnen helpen bij het blokkeren van potentiële afzenders en het herkennen/blokkeren van malafide verkeer.
Sluit je aan bij FERM
Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.
Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.
En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics